概要
リモートの SUSE ホストに 1 つ以上のセキュリティ更新がありません。
説明
リモートの SUSE Linux SLED15 / SLED_SAP15 / SLES15 / SLES_SAP15 / openSUSE 15 ホストには、SUSE-SU-2022:4085-1 のアドバイザリに記載された複数の脆弱性の影響を受けるパッケージがインストールされています。
- 様々なセキュリティ問題を修正しました(MFSA 2022-49、 bsc#1205270):
* CVE-2022-45403 (bmo#1762078)サービスワーカーがクロスオリジンのメディアファイルのサイズを把握している可能性があります
* CVE-2022-45404 (bmo#1790815)フルスクリーン通知のバイパス
* CVE-2022-45405 (bmo#1791314)InputStream 実装における use-after-free
* CVE-2022-45406 (bmo#1791975)JavaScript レルムの use-after-free
* CVE-2022-45408 (bmo#1793829)windowName による全画面通知のバイパス
* CVE-2022-45409 (bmo#1796901)ガベージコレクションの use-after-free
* CVE-2022-45410 (bmo#1658869)ServiceWorker傍受されたリクエストがSameSite Cookieポリシーをバイパスしました
* CVE-2022-45411 (bmo#1790311)非標準のオーバーライドヘッダーにより、クロスサイトトレースが可能でした
* CVE-2022-45412 (bmo#1791029)シンボリックリンクが部分的に初期化されていないバッファに解決される可能性があります
* CVE-2022-45416 (bmo#1793676)キーストロークのサイドチャネル漏洩
* CVE-2022-45418 (bmo#1795815)カスタムマウスカーソルがブラウザ UI 上に描画される可能性があります
* CVE-2022-45420 (bmo#1792643)iframe コンテンツが iframe の外部でレンダリングされる可能性があります
* CVE-2022-45421 (bmo#1767920、 bmo#1789808、 bmo#1794061)Thunderbird で修正されたメモリ安全性のバグ 102.5
- 様々なセキュリティ問題を修正しました:(MFSA 2022-46、 bsc#1204421):
* CVE-2022-42927 (bmo#1789128)同一生成元ポリシーの違反により、クロスオリジン URL が漏洩する可能性がありました
* CVE-2022-42928 (bmo#1791520)JS エンジンでのメモリ破損
* CVE-2022-42929 (bmo#1789439)window.print によるサービス拒否
* CVE-2022-42932 (bmo#1789729、 bmo#1791363、 bmo#1792041)Thunderbird で修正されたメモリ安全性のバグ 102.4
- Mozilla Thunderbird 102.5
* 変更:アドレス帳から新しい連絡先を作成するための「Ctrl+N」ショートカットを復元(bmo#1751288)
* 修正済み:アカウントSettings UI がデフォルト ID の変更を反映するように更新されませんでした(bmo#1782646)
* 修正済み:既読または迷惑メールとしてフィルターによってマークされたメッセージで、新しい POP メール通知が間違って表示されていました(bmo#1787531)
* 修正済み:「PREAUTH」を使用するように構成された IMAP サーバーに接続すると、Thunderbird がハングしていました(bmo#1798161)
* 修正済み:NNTP サーバーからのあいさつヘッダーで受信したエラー応答に、エラーメッセージが表示されていませんでした(bmo#1792281)
* 修正済み:「後で送信」を使用して送信されたニュースメッセージが、オンラインに戻った後に送信に失敗していました(bmo#1794997)
* 修正:「今すぐダウンロード/同期...」オフラインになる前にすべてのニュースグループを完全に同期しませんでした(bmo#1795547)
* 修正済み:ニュースサーバーへのログインに失敗した際のエラーダイアログにユーザー名が欠落していました(bmo#1796964)
* 修正済み:Thunderbird が、不完全なチャネル URL のある RSS チャネルフィードをフェッチできるようになりました(bmo#1794775)
* 修正済み:アドオンマネージャーのアドオンの「Contribute」ボタンが機能しませんでした(bmo#1795751)
* 修正済み:「/part」Matrix コマンドのヘルプテキストが不適切でした(bmo#1795578)
* 修正済み:Invite Attendees ダイアログが、名前にエンコードされた文字がある出席者の空き時間情報を取得していませんでした(bmo#1797927)
- Mozilla Thunderbird 102.4.2
* 変更済み:Account Central の「アドレス帳」ボタンは、ローカルアドレス帳の代わりに CardDAV アドレス帳を作成します(bmo#1793903)
* 修正済み:「ヘッダーのみをフェッチ」モードで POP サーバーからフェッチしたメッセージが、フィルター操作により別のフォルダに移動されると表示されなくなりました(bmo#1793374)
* 修正済み:「Leave messages on server」および「Until I delete them」が有効化されている場合、Thunderbird はローカルで削除されたメッセージを POP サーバーから再ダウンロードしていました(bmo#1796903)
* 修正済み:同一の POP アカウントに対する複数のパスワードプロンプトが表示される場合があります(bmo#1786920)
* 修正済み:ImapMail フォルダがユーザーによって削除された場合、次回の起動時に IMAP 認証が失敗しました(bmo#1793599)
* 修正済み:起動時のユーザープロファイルの旧式のプリファレンスのため、認証された NNTP アカウントのパスワードの取得が失敗する可能性があります(bmo#1770594)
* 修正済み:「Get Next n Messages」が、NNTP サーバーからリクエストされたすべてのメッセージを一貫して取得していませんでした(bmo#1794185)
* 修正済み:ルートフォルダが選択されていない場合に、「メッセージを取得」ボタンが NNTP サーバーからメッセージを取り込めない(bmo#1792362)
* 修正済み:Thunderbird のテキストブランディングが、ローカライズされたビルドのロケールと一致しないことがありました(bmo#1786199)
* 修正済み:Thunderbird インストーラーと Thunderbird アップデーターが異なる名前で Windows ショートカットを作成していました(bmo#1787264)
* 修正済み:LDAP 検索フィルターが非 ASCII 文字を処理できない(bmo#1794306)
* 修正済み:真夜中の日付変更後に、暦月表示の「Today」ハイライトが更新されませんでした(bmo#1795176)
- Mozilla Thunderbird 102.4.1
* 新規:Thunderbird が、不適切にフォーマットされた日付を含む vCard の解析エラーをキャッチして報告するようになりました(bmo#1793415)
* 修正済み:動的言語切り替えが、右から左への言語に切り替えられたときにインターフェイスを更新しませんでした(bmo#1794289)
* 修正済み:メッセージがドラフトとして保存されて再オープンされた後に、カスタムヘッダーデータが破棄されました(bmo#195716)
* 修正済み:「-remote」コマンドライン引数が動作せず、LibreOffice(bmo#1793323)などのさまざまなアプリケーションとの統合に影響を与えました
* 修正済み:一部の SMS-to-email サービスを通じて受信したメッセージは、画像を表示できませんでした(bmo#1774805)
* 修正済み:ニックネームフィールドが設定された VCards を編集できませんでした(bmo#1793877)
* 修正済み:一部の繰り返し発生するイベントが、初回ロード時にアジェンダから欠落していました(bmo#1771168)
* 修正済み:リモート ICS カレンダーのダウンロードリクエストが「Accept」ヘッダーを text/xml に不適切に設定(bmo#1793757)
* 修正済み:毎月の 31 日に作成された月次イベントで、<30 日が翌月の初めから 1〜2 日後に最初に発生しました(bmo#1266797)
* 修正済み:さまざまなビジュアルおよび UX の改善(bmo#1781437、bmo#1785314、bmo#1794139、bmo#1794155、bmo#1794399)
* 変更済み:Thunderbird は、Thunderbird 102 のプロファイルインポートツールを使用することで発生した OpenPGP キーストレージの破損を自動的に検出し、修復します(bmo#1790610)
* 修正済み:大きなフォルダー(~13000 件のメッセージ)への POP メッセージダウンロードにより、Thunderbird が一時的にフリーズしていました(bmo#1792675)
* 修正済み:件名に特殊文字があるメッセージの転送が Windows で失敗しました(bmo#1782173)
* 修正済み:添付ファイルのファイル名に Unicode 文字が含まれている場合に、FileLink 添付ファイルへのリンクが追加されませんでした(bmo#1789589)
* 修正済み:アドレス帳の表示ペインは、削除後も連絡先を表示し続けていました(bmo#1777808)
* 修正済み:アドレス帳の印刷にすべての連絡先詳細が含まれていませんでした(bmo#1782076)
* 修正済み:Name プロパティのない CardDAV 連絡先が、Google Contacts に保存されませんでした(bmo#1792101)
* 修正済み:「Publish Calendar」が機能しませんでした(bmo#1794471)
* 修正済み:カレンダーデータベースストレージの改善(bmo#1792124)
* 修正済み:CalDAV サーバーからのエラー応答を不適切に処理することにより、イベントがカレンダーから消えることがありました(bmo#1792923)
* 修正済み:さまざまなビジュアルおよび UX の改善(bmo#1776093、bmo#17 80040、bmo#1780425、bmo#1792876、bmo#1792872、bmo#1793466、bmo#179 3543)
Tenable は、前述の記述ブロックを SUSE セキュリティアドバイザリから直接抽出しています。
Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。
ソリューション
影響を受ける MozillaThunderbird、MozillaThunderbird-translations-common や MozillaThunderbird-translations- その他のパッケージを更新してください。
プラグインの詳細
ファイル名: suse_SU-2022-4085-1.nasl
エージェント: unix
サポートされているセンサー: Agentless Assessment, Continuous Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Tenable Cloud Security, Tenable Self-Hosted Container Security, Nessus
リスク情報
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C
ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C
脆弱性情報
CPE: cpe:/o:novell:suse_linux:15, p-cpe:/a:novell:suse_linux:mozillathunderbird, p-cpe:/a:novell:suse_linux:mozillathunderbird-translations-common, p-cpe:/a:novell:suse_linux:mozillathunderbird-translations-other
必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list
エクスプロイトの容易さ: No known exploits are available
参照情報
CVE: CVE-2022-42927, CVE-2022-42928, CVE-2022-42929, CVE-2022-42932, CVE-2022-45403, CVE-2022-45404, CVE-2022-45405, CVE-2022-45406, CVE-2022-45408, CVE-2022-45409, CVE-2022-45410, CVE-2022-45411, CVE-2022-45412, CVE-2022-45416, CVE-2022-45418, CVE-2022-45420, CVE-2022-45421
SuSE: SUSE-SU-2022:4085-1