openSUSEセキュリティ更新プログラム:MozillaFirefox(openSUSE-2019-2251)

critical Nessus プラグイン ID 129664

言語:

概要

リモートのopenSUSEホストに、セキュリティ更新プログラムがありません。

説明

このMozillaFirefoxのバージョン68.1への更新では、次の問題を修正します:

キャッシュサイドチャネル攻撃の軽減:

- CVE-2019-9811:悪意のある言語パックのインストールによるサンドボックスの回避を修正しました(bsc#1140868)。

- CVE-2019-9812:Firefox Syncによるサンドボックスの回避を修正しました。(bsc#1149294)

- CVE-2019-11710:複数のメモリの安全性に関するバグが修正されました。
(bsc#1140868)

- CVE-2019-11714:Neckoでの悪用可能なクラッシュを修正しました。(bsc#1140868)

- CVE-2019-11716:サンドボックスのバイパスを修正しました(bsc#1140868)。

- CVE-2019-11718:Activity Streamコンポーネントの不適切なサニタイズを修正しました。(bsc#1140868)

- CVE-2019-11720:文字エンコーディングのXSSの脆弱性を修正しました。(bsc#1140868)

- CVE-2019-11721:ラテン文字の「kra」文字であるbsc#1140868unicodeを通じたドメインなりすましを修正しました

- CVE-2019-11723:プライベートブラウジングの境界を越えるアドオンフェッチ中のcookie漏洩を修正しました。
(bsc#1140868)

- CVE-2019-11724:廃止されたサイトinput.mozilla.orgへのアクセスを許可する期限切れの権限を修正しました。(bsc#1140868)

- CVE-2019-11725:WebSocketに関連するSafebrowsingのバイパスを修正しました。(bsc#1140868)

- CVE-2019-11727:PKCS#1 v1.5署名がTLS 1.3のCertificateRequestでサーバーによってアドバタイズされた唯一の署名である場合、NSS v1.5署名によってCertificateVerifyに強制的に署名できる脆弱性を修正しました。(bsc#1141322)

- CVE-2019-11728:リモートポートスキャンを許可していたAlt-Svcヘッダーの不適切な処理を修正しました。
(bsc#1140868)

- CVE-2019-11733:「Saved Logins」で保存されたパスワードの保護が不十分であることを修正しました。(bnc#1145665)

- CVE-2019-11735:複数のメモリの安全性に関するバグが修正されました。
(bnc#1149293)

- CVE-2019-11736:Mozilla Maintenance Serviceのファイル操作および権限昇格を修正しました。(bnc#1149292)

- CVE-2019-11738:ディレクティブにおけるハッシュベースのソースを通じたコンテンツセキュリティポリシーのバイパスを修正しました。(bnc#1149302)

- CVE-2019-11740:複数のメモリの安全性に関するバグが修正されました。
(bsc#1149299)

- CVE-2019-11742:SVGフィルターおよびキャンバスを使用してクロスオリジンイメージを盗む同一オリジンポリシー違反を修正しました。(bsc#1149303)

- CVE-2019-11743:アンロードイベント属性を利用する、クロスオリジン情報に対するタイミングのサイドチャネル攻撃を修正しました。(bsc#1149298)

- CVE-2019-11744:innerHTMLを使用したタイトルおよびtextarea要素外の破壊によるXSSを修正しました。
(bsc#1149304)

- CVE-2019-11746:ビデオの操作中のメモリ解放後使用(Use After Free)を修正しました。(bsc#1149297)

- CVE-2019-11752:IndexedDBのキー値の抽出中のメモリ解放後使用(Use After Free)を修正しました。(bsc#1149296)

- CVE-2019-11753:Firefoxのカスタムインストール場所のMozilla Maintenance Serviceによる権限昇格を修正しました。(bsc#1149295))

セキュリティ以外の修正された問題:

- s390xの最新の更新もリリースされました。(bsc#1109465)

- s390vsl082でのセグメンテーション違反を修正しました。(bsc#1117473)

- SLES15 s390xでのクラッシュを修正しました。(bsc#1124525)

- セグメンテーション違反を修正しました。(bsc#1133810)

この更新はSUSEからインポートされました:SLE-15:更新プロジェクトを更新します。

ソリューション

影響を受けるMozillaFirefoxパッケージを更新してください。

関連情報

https://bugzilla.opensuse.org/show_bug.cgi?id=1109465

https://bugzilla.opensuse.org/show_bug.cgi?id=1117473

https://bugzilla.opensuse.org/show_bug.cgi?id=1123482

https://bugzilla.opensuse.org/show_bug.cgi?id=1124525

https://bugzilla.opensuse.org/show_bug.cgi?id=1133810

https://bugzilla.opensuse.org/show_bug.cgi?id=1138688

https://bugzilla.opensuse.org/show_bug.cgi?id=1140868

https://bugzilla.opensuse.org/show_bug.cgi?id=1141322

https://bugzilla.opensuse.org/show_bug.cgi?id=1145665

https://bugzilla.opensuse.org/show_bug.cgi?id=1149292

https://bugzilla.opensuse.org/show_bug.cgi?id=1149293

https://bugzilla.opensuse.org/show_bug.cgi?id=1149294

https://bugzilla.opensuse.org/show_bug.cgi?id=1149295

https://bugzilla.opensuse.org/show_bug.cgi?id=1149296

https://bugzilla.opensuse.org/show_bug.cgi?id=1149297

https://bugzilla.opensuse.org/show_bug.cgi?id=1149298

https://bugzilla.opensuse.org/show_bug.cgi?id=1149299

https://bugzilla.opensuse.org/show_bug.cgi?id=1149302

https://bugzilla.opensuse.org/show_bug.cgi?id=1149303

https://bugzilla.opensuse.org/show_bug.cgi?id=1149304

https://bugzilla.opensuse.org/show_bug.cgi?id=1149323

プラグインの詳細

深刻度: Critical

ID: 129664

ファイル名: openSUSE-2019-2251.nasl

バージョン: 1.3

タイプ: local

エージェント: unix

公開日: 2019/10/7

更新日: 2022/5/18

サポートされているセンサー: Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent

リスク情報

VPR

リスクファクター: High

スコア: 8.1

CVSS v2

リスクファクター: High

Base Score: 9.3

Temporal Score: 6.9

ベクトル: AV:N/AC:M/Au:N/C:C/I:C/A:C

現状ベクトル: E:U/RL:OF/RC:C

CVSS スコアのソース: CVE-2019-11752

CVSS v3

リスクファクター: Critical

Base Score: 9.8

Temporal Score: 8.5

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

現状ベクトル: E:U/RL:O/RC:C

脆弱性情報

CPE: p-cpe:/a:novell:opensuse:MozillaFirefox, p-cpe:/a:novell:opensuse:MozillaFirefox-branding-upstream, p-cpe:/a:novell:opensuse:MozillaFirefox-buildsymbols, p-cpe:/a:novell:opensuse:MozillaFirefox-debuginfo, p-cpe:/a:novell:opensuse:MozillaFirefox-debugsource, p-cpe:/a:novell:opensuse:MozillaFirefox-devel, p-cpe:/a:novell:opensuse:MozillaFirefox-translations-common, p-cpe:/a:novell:opensuse:MozillaFirefox-translations-other, cpe:/o:novell:opensuse:15.1

必要な KB アイテム: Host/local_checks_enabled, Host/SuSE/release, Host/SuSE/rpm-list, Host/cpu

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2019/10/4

脆弱性公開日: 2019/7/23

参照情報

CVE: CVE-2019-11710, CVE-2019-11714, CVE-2019-11716, CVE-2019-11718, CVE-2019-11720, CVE-2019-11721, CVE-2019-11723, CVE-2019-11724, CVE-2019-11725, CVE-2019-11727, CVE-2019-11728, CVE-2019-11733, CVE-2019-11735, CVE-2019-11736, CVE-2019-11738, CVE-2019-11740, CVE-2019-11742, CVE-2019-11743, CVE-2019-11744, CVE-2019-11746, CVE-2019-11747, CVE-2019-11748, CVE-2019-11749, CVE-2019-11750, CVE-2019-11751, CVE-2019-11752, CVE-2019-11753, CVE-2019-9811, CVE-2019-9812