概要
リモートの SUSE ホストに 1 つ以上のセキュリティ更新がありません。
説明
リモートの SUSE Linux SLED15 / SLED_SAP15 / SLES15 / SLES_SAP15 / openSUSE 15 ホストには、SUSE-SU-2022:3800-1 のアドバイザリに記載された複数の脆弱性の影響を受けるパッケージがインストールされています。
- Mozilla Thunderbird 102.4.0(bsc#1204421)
* 変更済み:Thunderbird は、Thunderbird 102 のプロファイルインポートツールを使用することで発生した OpenPGP キーストレージの破損を自動的に検出し、修復します
* 修正済み:大きなフォルダー(~13000 件のメッセージ)への POP メッセージダウンロードにより、Thunderbird が一時的にフリーズしていました
* 修正済み:件名に特殊文字があるメッセージの転送が Windows で失敗していました
* 修正済み:添付ファイルのファイル名に Unicode 文字が含まれている場合、FileLink 添付ファイルへのリンクが追加されませんでした
* 修正済み:アドレス帳の表示ペインは、削除後に連絡先を表示し続けていました
* 修正済み:アドレス帳の印刷に、すべての連絡先詳細が含まれていませんでした
* 修正済み:Name プロパティのない CardDAV 連絡先が Google コンタクトに保存されませんでした
* 修正済み:「Publish Calendar」が機能しませんでした
* 修正済み:カレンダーデータベースストレージの改善
* 修正済み:CalDAV サーバーからのエラー応答の不適切な処理により、イベントがカレンダーから消えることがありました
* 修正:さまざまなビジュアルおよび UX の改善
- Mozilla Thunderbird 102.3.3
* 新規:「すべてのアドレス帳」を縦モードで使用している場合に、連絡先のアドレス帳を含むアドレス帳を表示するオプションを追加しました(bmo#1778871)
* 変更済み:Thunderbird は、サーバーによってアドバタイズされていなくても、POP NTLM 認証の使用を試行します(bmo#1793349)
* 変更済み:タスクリストおよび今日ペインのサイドバーが非表示時にロードされなくなります(bmo#1788549)
* 修正済み:受信者のピルが変更されているときにメッセージを送信すると、変更が保存されませんでした(bmo#1779785)
* 修正済み:ニックネーム列が、アドレス帳の水平表示で利用できませんでした(bmo#1778000)
* 修正済み:複数行の組織の値が、アドレス帳の水平表示の 2 つの列にまたがって表示されていました(bmo#1777780)
* 修正済み:カテゴリなどの複数の値を持つ Contact vCard フィールドが、保存時に切り捨てられていました(bmo#1792399)
* 修正済み:「FREEBUSY」プロパティのある ICS カレンダーファイルをインポートできませんでした(bmo#1783441)
* 修正済み:カレンダーイベントが 2035 年を超えると、Thunderbird がハングアップします(bmo#1789999)
- Mozilla Thunderbird 102.3.2
* 変更済み:Thunderbird は、サーバーによってアドバタイズされていない場合でも、POP CRAM-MD5 認証の使用を試行します(bmo#1789975)
* 修正済み:POP3 アカウントでメッセージをチェックすると、メールサーバーが遅いまたは応答しない場合に POP フォルダがロックしていました(bmo#1792451)
* 修正済み:ニュースグループのリストをリフレッシュする際に、連続したドットで名前が付けられたニュースグループが表示されない場合があります(bmo#1787789)
* 修正済み:ドットで始まる行を含むニュース記事を送信すると、クリップされることがありました(bmo#1787955)
* 修正済み:同期トークンが期限切れになった場合、CardDAV サーバーの同期がサイレントに失敗しました(bmo#1791183)
* 修正済み:macOS アドレス帳上の LDAP からの連絡先が表示されませんでした(bmo#1791347)
* 修正済み:チャットアカウント入力が、サポートされているチャットプロトコルの URI を受け入れるようになりました(bmo#1776706)
* 修正済み:Chat ScreenName フィールドが新しいアドレス帳に移行されませんでした(bmo#1789990)
* 修正済み:今日ペインから新しいイベントを作成すると、今日ペインからではなくメインカレンダーから現在選択されている日が使用されていました(bmo#1791203)
* 修正:Today Pane の [New Event] ボタンが誤って無効化されることがありました(bmo#1792058)
* 修正済み:イベントリマインダーウィンドウが、閉じられたりスヌーズされた後に閉じませんでした(bmo#1791228)
* 修正済み:繰り返しイベントの日付計算のパフォーマンスを改善しました(bmo#1787677)
* 修正済み:月の最終日の四半期カレンダーイベントが、1 か月早い時間に繰り返される(bmo#1789362)
* 修正済み:カレンダーイベントが 2035 年を超えると、Thunderbird がハングアップします(bmo#1789999)
* 修正済み:Thunderbird 91 から 102 へアップグレードする際に、カレンダーイベントの空白が不適切に処理されていました(bmo#1790339)
* 修正済み:さまざまなビジュアルおよび UX の改善(bmo#1755623、bmo#17 83903、bmo#1785851、bmo#1786434、bmo#1787286、bmo#1788151、bmo#178 9728、bmo#1790499)
- Mozilla Thunderbird 102.3.1
* 変更済み:作成ウィンドウの暗号化オプションは、すでに構成されている暗号化技術に対してのみ表示されます(bmo#1788988)
* 変更済み:現在選択されているアドレス帳の連絡先数が、アドレス帳リスト列の下部に表示されるようになりました(bmo#1745571)
* 修正済み:パスワードプロンプトに POP サーバーのサーバーホスト名が含まれていませんでした(bmo#1786920)
* 修正済み:連絡先のサイドバーコンテキストメニューに「連絡先の編集」が欠落していました(bmo#1771795)
* 修正済み:アドレス帳の連絡先リストが一部の文字の表示を遮断し、結果が読み取れなくなります(bmo#1780909)
* 修正済み:暗いテーマのアラームダイアログのメニュー項目が、Windows 7(bmo#1791738)で表示されませんでした
* 修正済み:さまざまなセキュリティ修正 MFSA 2022-43 (bsc#1204411)
* Thunderbird にバンドルされている CVE-2022-39249 (bmo#1791765) Matrix SDK は、悪意のあるサーバー管理者によるなりすまし攻撃に対して脆弱です
* Thunderbird にバンドルされている CVE-2022-39250 (bmo#1791765) Matrix SDK は、デバイス検証攻撃に脆弱です
* Thunderbird にバンドルされている CVE-2022-39251 (bmo#1791765) Matrix SDK は、なりすまし攻撃に脆弱です
* Thunderbird にバンドルされている CVE-2022-39236 (bmo#1791765) Matrix SDK は、データ破損の問題に対して脆弱です
- Mozilla Thunderbird 102.3
* 変更済み:プロファイルの破損と永続的なデータ損失を防ぐため、Thunderbird は別の Thunderbird プロファイルからインポートする際に、アカウントパスワードのインポートを試みなくなります。
(bmo#1790605)
* 変更済み:Devtools のパフォーマンスプロファイルが、Web Developer プリセットの代わりに Thunderbird プリセットを使用します(bmo#1785954)
* 修正済み:Thunderbird スタートアップパフォーマンスの改善(bmo#1785967)
* 修正済み:メールソースと画像の保存に失敗しました(bmo#1777323、bmo#1778804)
* 修正済み:一時ディスクの空き容量がいっぱいになると、エラーメッセージが繰り返し表示されていました(bmo#1788580)
* 修正済み:暗号化されていないメッセージにサイズを設定せずに OpenPGP キーを添付すると、ゼロバイトのサイズが一時的に表示されていました(bmo#1788952)
* 修正済み:Global Search エントリボックスには、当初「undefined」が含まれていました(bmo#1780963)
* 修正済み:POP サーバーメールフィルタールールからの削除が断続的にトリガーに失敗していました(bmo#1789418)
* 修正済み:UIDL サポートのない POP3 サーバーへの接続が失敗しました(bmo#1789314)
* 修正済み:「ヘッダーのみを呼び出す」設定のある Pop アカウントは、サーバーが TOP 機能をアドバタイズしなかった場合に、完全なメッセージをダウンロードしました(bmo#1789356)
* 修正済み:作成ウィンドウからの「File -> New -> Address Book Contact」が機能しませんでした(bmo#1782418)
* 修正済み:作成ウィンドウの「My vCard」オプションの添付が利用できませんでした(bmo#1787614)
* 修正済み:連絡先とメールアドレスを照合するパフォーマンスを改善しました(bmo#1782725)
* 修正済み:アドレス帳は、連絡先の最初の 2 つのメールアドレスのみを認識していました(bmo#1777156)
* 修正済み:連絡先の vCard を解析できない場合に、アドレス帳の検索とオートコンプリートが失敗していました(bmo#1789793)
* 修正済み:オフライン使用のための NNTP メッセージのダウンロードに失敗しました(bmo#1785773)
* 修正済み:Public-Inbox サーバーへの接続時に NNTP クライアントがスタックしました(bmo#1786203)
* 修正済み:さまざまなビジュアルおよび UX の改善(bmo#1782235、bmo#1787448、bmo#1788725、bmo#1790324)
* 修正済み:さまざまなセキュリティ修正
* 未解決:アドレス帳に専用の「部門」フィールドがない(bmo#1777780) MFSA 2022-42 (bsc#1203477)
* CVE-2022-3266 (bmo#1767360)デコード時の領域外読み取り H264
* CVE-2022-40959 (bmo#1782211)一時的なページの FeaturePolicy 制限のバイパス
* CVE-2022-40960 (bmo#1787633)スレッド内の非 UTF-8 URL を解析する際のデータ競合
* CVE-2022-40958 (bmo#1779993)__Host および __Secure プレフィックスを持つクッキーに対する Secure Context 制限のバイパス
* CVE-2022-40956 (bmo#1770094)Content-Security-Policy base-uri のバイパス
* CVE-2022-40957 (bmo#1777604) WASM に構築するときの一貫性のない命令キャッシュ ARM64
* CVE-2022-3155 (bmo#1789061)macOS でディスクに保存された添付ファイルが、警告なしに実行される可能性があります
* CVE-2022-40962 (bmo#1776655、 bmo#1777574、 bmo#1784835、 bmo#1785109、 bmo#1786502、 bmo#1789440)Thunderbird で修正されたメモリ安全性のバグ 102.3
Tenable は、前述の記述ブロックを SUSE セキュリティアドバイザリから直接抽出しています。
Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。
ソリューション
影響を受ける MozillaThunderbird、MozillaThunderbird-translations-common や MozillaThunderbird-translations- その他のパッケージを更新してください。
プラグインの詳細
ファイル名: suse_SU-2022-3800-1.nasl
エージェント: unix
サポートされているセンサー: Agentless Assessment, Continuous Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Tenable Cloud Security, Tenable Self-Hosted Container Security, Nessus
リスク情報
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C
ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C
脆弱性情報
CPE: cpe:/o:novell:suse_linux:15, p-cpe:/a:novell:suse_linux:mozillathunderbird, p-cpe:/a:novell:suse_linux:mozillathunderbird-translations-common, p-cpe:/a:novell:suse_linux:mozillathunderbird-translations-other
必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list
エクスプロイトの容易さ: No known exploits are available
参照情報
CVE: CVE-2022-3155, CVE-2022-3266, CVE-2022-39236, CVE-2022-39249, CVE-2022-39250, CVE-2022-39251, CVE-2022-40956, CVE-2022-40957, CVE-2022-40958, CVE-2022-40959, CVE-2022-40960, CVE-2022-40962
SuSE: SUSE-SU-2022:3800-1