概要
リモートの SUSE ホストに 1 つ以上のセキュリティ更新がありません。
説明
リモートの SUSE Linux SLES11 ホストには、SUSE-SU-2021:14821-1 のアドバイザリに記載された複数の脆弱性の影響を受けるパッケージがインストールされています。
この更新には、Firefox 拡張サポートリリース 91.1.0 ESR が含まれています。
* 修正済み:さまざまな安定性、機能性、セキュリティの修正
MFSA 2021-40(bsc#1190269、bsc#1190274):
* CVE-2021-38492:「mk:」URL スキーマにナビゲートすると、Internet Explorer が読み込まれる可能性があります
* CVE-2021-38495:Firefox 92 および Firefox ESR で修正されたメモリ安全性のバグ 91.1
Firefox 91.0.1esr ESR
* 修正済み:特定の Web サイトをロードする際にタブバーのボタンのサイズを変更する問題を修正しました(バグ 1704404)
* 修正済み:アドレスバーパネルでタブ切り替えの結果を表示するときに、プライベートウィンドウからのタブが非プライベートウィンドウに表示される問題を修正しました(バグ 1720369)
* 修正済み:さまざまな安定性の修正
* 修正済み:セキュリティ修正 MFSA 2021-37 (bsc#1189547)
* CVE-2021-29991 (bmo#1724896)HTTP/3 応答によるヘッダー分割が可能
Firefox 延長サポート版91.0 ESR
* 新規:新しい延長サポートリリースのハイライトの一部を次に示します:
- 多数のユーザーインターフェイスの変更。詳細は、Firefox 89 リリースノートを参照してください。
- Firefox は、Windows シングルサインオンを使用した Microsoft、職場、および学校のアカウントへのログインをサポートするようになりました。詳細情報
- Windows で、Firefox が実行されていない間にバックグラウンドで更新を適用できるようになりました。
- Firefox for Windows は、サードパーティのアプリケーションによって引き起こされる互換性の問題を特定するのに役立つ新しいページ about:third-party を提供しています
- Firefox の SmartBlock 機能のバージョン 2 は、プライベートブラウジングをさらに改善します。サードパーティの Facebook スクリプトは追跡を防ぐためにブロックされていますが、任意の Web サイトで「Facebook でログイン」することに決めた場合、「ジャストインタイム」で自動的にロードされるようになりました。
- Firefox ブラウザのプライベートブラウジングモードのプライバシーをトータルクッキー保護により強化しました。これにより、クッキーが作成されたサイトに限定され、企業がクッキーを使用してサイト間のブラウジングを追跡することを防ぎます。この機能はもともと Firefox の ETP Strict モードで起動されました。
- PDF フォームが、PDF ファイルに埋め込まれた JavaScript をサポートするようになりました。
一部の PDF フォームでは、検証やその他の対話型機能に JavaScript が使用されます。
- プライベート ブラウジングでの Web サイトの破損が少なくなり、Web サイトが適切に読み込まれるようにスタンドイン スクリプトを提供する SmartBlock を使用すると、厳密に強化されたトラッキング保護が発生します。
- 印刷機能がよりクリーンなデザインになり、コンピューターのプリンター設定との統合が向上しました。
- Firefox は、ブラウザに隠れたままで、クッキーを消去した後でもオンラインで追跡できるトラッカーの一種であるスーパークッキーからユーザーを保護するようになりました。スーパークッキーを分離することで、Firefoxはスーパークッキーがサイト間でのWebブラウジングを追跡するのを防ぎます。
- Firefox は、保存したブックマークの優先場所を記憶し、新しいタブにデフォルトでブックマークツールバーを表示し、ツールバーフォルダーを介してすべてのブックマークに簡単にアクセスできるようになりました。
- Apple Silicon CPU で構築された macOS デバイスのネイティブサポートにより、Firefox 83 で出荷された非ネイティブビルドよりも劇的なパフォーマンス改善がもたらされます: Firefox の起動速度は 2.5 倍以上で、Web アプリの応答性は 2 倍向上しました (SpeedoMeter 2.0 テスト)。新しい Apple デバイスを使用している場合は、次の手順に従って最新の Firefox にアップグレードしてください。
- Windows タッチスクリーン デバイスと Mac デバイスのタッチパッドを使用しているユーザーに対して、ピンチ ズームがサポートされるようになりました。
Firefox ユーザーは、タッチ対応デバイスでピンチを使ってズームインおよびズームアウトできるようになりました。
- Firefox の多数の検索機能の機能とデザインを改善しました:
* 検索パネルの下部で検索エンジンを選択すると、そのエンジンの検索モードに入り、検索語句の候補(利用できる場合)を表示できるようになりました。以前の動作 (検索の即時実行) は、Shift キーを押しながらクリックすることで利用できます。
* Firefox が検索エンジンの URL をオートコンプリートする場合、アドレスバーの結果でショートカットを選択することで、アドレスバーで直接そのエンジンで検索できるようになりました。
* 検索パネルの下部にボタンを追加し、ブックマーク、開いているタブ、履歴を検索できるようになりました。
- Firefox は AcroForm をサポートしており、サポートされている PDF フォームへの入力、印刷、保存が可能になり、PDF ビューアーの外観も新しくなりました。
- 米国およびカナダのユーザーは、Firefox がクレジットカード情報を保存、管理、自動入力できるようになり、Firefox でのショッピングがこれまで以上に便利になりました。
- デフォルトのダークテーマとライトテーマに加えて、このリリースでFirefoxはAlpenglowテーマを導入しました:ボタン、メニュー、ウィンドウのカラフルな外観です。Firefoxのテーマは、[設定]または[環境設定]で更新できます。
* 変更済み:Firefox は Adobe Flash をサポートしなくなりました。Flash サポートを再度有効にするために利用できる設定はありません。
* Enterprise:さまざまなバグ修正と新しいポリシーが、最新バージョンの Firefox に実装されています。詳細は、Firefox for Enterprise 91 リリースノートを参照してください。
MFSA 2021-33 (bsc#1188891):
* CVE-2021-29986:DNS 名を解決する際の競合状態により、メモリ破損を引き起こす可能性があります
* CVE-2021-29981:ライブ範囲分割により、JIT での競合割り当てが引き起こされる可能性があります
* CVE-2021-29988:不適切なスタイル処理の結果として生じるメモリ破損
* CVE-2021-29983:Android 用の Firefox が全画面モードで動かなくなる可能性があります
* CVE-2021-29984:JIT 最適化中の不適切な命令の並べ替え
* CVE-2021-29980:キャンバスオブジェクトの初期化されていないメモリにより、メモリ破損を引き起こす可能性があります
* CVE-2021-29987:ユーザーが騙されて、Linux 上の望ましくない権限を受け入れる可能性があります
* CVE-2021-29985:use-after-free メディアチャネル
* CVE-2021-29982:不適切な JIT 最適化と型の取り違え(Type Confusion)によるシングルビットのデータ漏洩
* CVE-2021-29989:Firefox 91 および Firefox ESR で修正されたメモリ安全性のバグ 78.13
* CVE-2021-29990:Firefox 91 で修正されたメモリ安全性のバグ
Tenable は、前述の記述ブロックを SUSE セキュリティアドバイザリから直接抽出しています。
Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。
ソリューション
影響を受ける MozillaFirefox、MozillaFirefox-translations-common や MozillaFirefox-translations-other パッケージを更新してください。
プラグインの詳細
ファイル名: suse_SU-2021-14821-1.nasl
エージェント: unix
サポートされているセンサー: Agentless Assessment, Continuous Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Tenable Cloud Security, Tenable Self-Hosted Container Security, Nessus
リスク情報
ベクトル: CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P
ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
現状ベクトル: CVSS:3.0/E:P/RL:O/RC:C
脆弱性情報
CPE: cpe:/o:novell:suse_linux:11, p-cpe:/a:novell:suse_linux:mozillafirefox, p-cpe:/a:novell:suse_linux:mozillafirefox-translations-common, p-cpe:/a:novell:suse_linux:mozillafirefox-translations-other
必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list
エクスプロイトの容易さ: Exploits are available
参照情報
CVE: CVE-2021-29980, CVE-2021-29981, CVE-2021-29982, CVE-2021-29983, CVE-2021-29984, CVE-2021-29985, CVE-2021-29986, CVE-2021-29987, CVE-2021-29988, CVE-2021-29989, CVE-2021-29990, CVE-2021-29991, CVE-2021-38492, CVE-2021-38495
IAVA: 2021-A-0366-S, 2021-A-0386-S, 2021-A-0405-S
SuSE: SUSE-SU-2021:14821-1