openSUSEセキュリティ更新プログラム:MozillaFirefox(openSUSE-2019-2260)
high Nessus プラグイン ID 129665
Language:
概要
リモートのopenSUSEホストに、セキュリティ更新プログラムがありません。説明
このMozillaFirefoxのバージョン68.1への更新では、次の問題を修正します:キャッシュサイドチャネル攻撃の軽減:
- CVE-2019-9811:悪意のある言語パックのインストールによるサンドボックスの回避を修正しました(bsc#1140868)。
- CVE-2019-9812:Firefox Syncによるサンドボックスの回避を修正しました。(bsc#1149294)
- CVE-2019-11710:複数のメモリの安全性に関するバグが修正されました。
(bsc#1140868)
- CVE-2019-11714:Neckoでの悪用可能なクラッシュを修正しました。(bsc#1140868)
- CVE-2019-11716:サンドボックスのバイパスを修正しました(bsc#1140868)。
- CVE-2019-11718:Activity Streamコンポーネントの不適切なサニタイズを修正しました。(bsc#1140868)
- CVE-2019-11720:文字エンコーディングのXSSの脆弱性を修正しました。(bsc#1140868)
- CVE-2019-11721:ラテン文字の「kra」文字であるbsc#1140868unicodeを通じたドメインなりすましを修正しました
- CVE-2019-11723:プライベートブラウジングの境界を越えるアドオンフェッチ中のcookie漏洩を修正しました。
(bsc#1140868)
- CVE-2019-11724:廃止されたサイトinput.mozilla.orgへのアクセスを許可する期限切れの権限を修正しました。(bsc#1140868)
- CVE-2019-11725:WebSocketに関連するSafebrowsingのバイパスを修正しました。(bsc#1140868)
- CVE-2019-11727:PKCS#1 v1.5署名がTLS 1.3のCertificateRequestでサーバーによってアドバタイズされた唯一の署名である場合、NSS v1.5署名によってCertificateVerifyに強制的に署名できる脆弱性を修正しました。(bsc#1141322)
- CVE-2019-11728:リモートポートスキャンを許可していたAlt-Svcヘッダーの不適切な処理を修正しました。
(bsc#1140868)
- CVE-2019-11733:「Saved Logins」で保存されたパスワードの保護が不十分であることを修正しました。(bnc#1145665)
- CVE-2019-11735:複数のメモリの安全性に関するバグが修正されました。
(bnc#1149293)
- CVE-2019-11736:Mozilla Maintenance Serviceのファイル操作および権限昇格を修正しました。(bnc#1149292)
- CVE-2019-11738:ディレクティブにおけるハッシュベースのソースを通じたコンテンツセキュリティポリシーのバイパスを修正しました。(bnc#1149302)
- CVE-2019-11740:複数のメモリの安全性に関するバグが修正されました。
(bsc#1149299)
- CVE-2019-11742:SVGフィルターおよびキャンバスを使用してクロスオリジンイメージを盗む同一オリジンポリシー違反を修正しました。(bsc#1149303)
- CVE-2019-11743:アンロードイベント属性を利用する、クロスオリジン情報に対するタイミングのサイドチャネル攻撃を修正しました。(bsc#1149298)
- CVE-2019-11744:innerHTMLを使用したタイトルおよびtextarea要素外の破壊によるXSSを修正しました。
(bsc#1149304)
- CVE-2019-11746:ビデオの操作中のメモリ解放後使用(Use After Free)を修正しました。(bsc#1149297)
- CVE-2019-11752:IndexedDBのキー値の抽出中のメモリ解放後使用(Use After Free)を修正しました。(bsc#1149296)
- CVE-2019-11753:Firefoxのカスタムインストール場所のMozilla Maintenance Serviceによる権限昇格を修正しました。(bsc#1149295))
セキュリティ以外の修正された問題:
s390xの最新の更新もリリースされました。(bsc#1109465)
s390vsl082でのセグメンテーション違反を修正しました。(bsc#1117473)
- SLES15 s390xでのクラッシュを修正しました。(bsc#1124525)
- セグメンテーション違反を修正しました。(bsc#1133810)
この更新はSUSEからインポートされました:SLE-15:更新プロジェクトを更新します。
ソリューション
影響を受けるMozillaFirefoxパッケージを更新してください。参考資料
https://bugzilla.opensuse.org/show_bug.cgi?id=1109465
https://bugzilla.opensuse.org/show_bug.cgi?id=1117473
https://bugzilla.opensuse.org/show_bug.cgi?id=1123482
https://bugzilla.opensuse.org/show_bug.cgi?id=1124525
https://bugzilla.opensuse.org/show_bug.cgi?id=1133810
https://bugzilla.opensuse.org/show_bug.cgi?id=1138688
https://bugzilla.opensuse.org/show_bug.cgi?id=1140868
https://bugzilla.opensuse.org/show_bug.cgi?id=1141322
https://bugzilla.opensuse.org/show_bug.cgi?id=1145665
https://bugzilla.opensuse.org/show_bug.cgi?id=1149292
https://bugzilla.opensuse.org/show_bug.cgi?id=1149293
https://bugzilla.opensuse.org/show_bug.cgi?id=1149294
https://bugzilla.opensuse.org/show_bug.cgi?id=1149295
https://bugzilla.opensuse.org/show_bug.cgi?id=1149296
https://bugzilla.opensuse.org/show_bug.cgi?id=1149297
https://bugzilla.opensuse.org/show_bug.cgi?id=1149298
https://bugzilla.opensuse.org/show_bug.cgi?id=1149299
https://bugzilla.opensuse.org/show_bug.cgi?id=1149302
https://bugzilla.opensuse.org/show_bug.cgi?id=1149303
プラグインの詳細
深刻度: High
ID: 129665
ファイル名: openSUSE-2019-2260.nasl
バージョン: 1.4
タイプ: local
エージェント: unix
ファミリー: SuSE Local Security Checks
公開日: 2019/10/7
更新日: 2021/1/19
サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Nessus
リスク情報
VPR
リスクファクター: High
スコア: 7.3
CVSS v2
リスクファクター: High
Base Score: 9.3
Temporal Score: 6.9
ベクトル: CVSS2#AV:N/AC:M/Au:N/C:C/I:C/A:C
CVSS スコアのソース: CVE-2019-11752
CVSS v3
リスクファクター: High
Base Score: 8.8
Temporal Score: 7.7
ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C
脆弱性情報
CPE: p-cpe:/a:novell:opensuse:mozillafirefox, p-cpe:/a:novell:opensuse:mozillafirefox-branding-upstream, p-cpe:/a:novell:opensuse:mozillafirefox-buildsymbols, p-cpe:/a:novell:opensuse:mozillafirefox-debuginfo, p-cpe:/a:novell:opensuse:mozillafirefox-debugsource, p-cpe:/a:novell:opensuse:mozillafirefox-devel, p-cpe:/a:novell:opensuse:mozillafirefox-translations-common, p-cpe:/a:novell:opensuse:mozillafirefox-translations-other, cpe:/o:novell:opensuse:15.0
必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list
エクスプロイトの容易さ: No known exploits are available
パッチ公開日: 2019/10/6
脆弱性公開日: 2019/7/23
参照情報
CVE: CVE-2019-11710, CVE-2019-11714, CVE-2019-11716, CVE-2019-11718, CVE-2019-11720, CVE-2019-11721, CVE-2019-11723, CVE-2019-11724, CVE-2019-11725, CVE-2019-11727, CVE-2019-11728, CVE-2019-11733, CVE-2019-11735, CVE-2019-11736, CVE-2019-11738, CVE-2019-11740, CVE-2019-11742, CVE-2019-11743, CVE-2019-11744, CVE-2019-11746, CVE-2019-11747, CVE-2019-11748, CVE-2019-11749, CVE-2019-11750, CVE-2019-11751, CVE-2019-11752, CVE-2019-11753, CVE-2019-9811, CVE-2019-9812