概要
リモートの SUSE ホストに 1 つ以上のセキュリティ更新がありません。
説明
リモートの SUSE Linux SLED15 / SLED_SAP15 / SLES15 / SLES_SAP15 / openSUSE 15 ホストには、SUSE-SU-2023:4016-1 のアドバイザリに記載された複数の脆弱性の影響を受けるパッケージがインストールされています。
セキュリティ修正:
- CVE-2023-5217: libvpx におけるヒープバッファオーバーフローを修正。(bsc#1215814)
- CVE-2023-5168: FilterNodeD2D1 における領域外書き込み。(bsc#1215575)
- CVE-2023-5169: PathOps における領域外書き込み。(bsc#1215575)
- CVE-2023-5171: Ion Compiler のメモリ解放後使用 (Use After Free)。(bsc#1215575)
- CVE-2023-5174: Windows におけるプロセス生成時の二重解放。(bsc#1215575)
- CVE-2023-5176: Firefox 118、Firefox ESR 115.3、および Thunderbird 115.3 で修正されたメモリの安全性のバグ。
(bsc#1215575)
その他の修正:
- Mozilla Thunderbird 115.3.1
* 修正済み: 統合フォルダビューで、一部のフォルダに誤った統合フォルダの親が設定されていました (bmo#1852525)
* 修正済み:「Edit message as new」で、選択したメッセージの暗号化された件名が復元されませんでした (bmo#1788534)
* 修正済み: 年次繰り返しイベントを含む一部の CalDAV カレンダーをインポートすると、Thunderbird がフリーズしていました (bmo#1850732)
* 修正済み: セキュリティ修正プログラム MFSA 2023-44 (bsc#1215814)
* CVE-2023-5217 (bmo#1855550) libvpx におけるヒープバッファオーバーフロー
- Mozilla Thunderbird 115.3
* 修正済み: ホスト名がドット (「.」) で終わるプロファイルを Thunderbird がインポートできませんでした (bmo#1825374)
* 修正済み: メッセージプレビューでメッセージヘッダーが表示されないことがありました (bmo#1840943)
* 修正済み: 既存のフォルダーのタイプフラグを設定しても、子孫フォルダーが統合フォルダービューに追加されませんでした (bmo#1848904)
* 修正済み: Thunderbird は一時メールファイルをすべて削除できない場合があり、その結果メッセージを送信できないことがありました (bmo#673703)
* 修正済み: メッセージ作成ウィンドウのステータスバーを非表示にできませんでした (bmo#1806860)
* 修正済み: メッセージプレビューでメッセージヘッダーが断続的に表示されないことがありました (bmo#1840943)
* 修正済み: OAuth2 が、Thunderbird 102.6.1 以前に作成された一部のプロファイルで機能しませんでした (bmo#1814823)
* 修正済み: Vertical View では、復号された件名がメッセージリストで省略記号(「...」)として表示されていました (bmo#1831764)
* 修正済み: 集約アドレス設定 (mail.showCondensedAddresses) で、メッセージリストに集約アドレスが表示されませんでした (bmo#1831280)
* 修正済み: IMAP UTF-8 が有効な状態で、スパムフォルダーに非 ASCII 名を割り当てることができませんでした (bmo#1816332)
* 修正済み: 画像の読み込みが完了するまでメッセージヘッダーが表示されず、大きな画像を含むメッセージで目立つ遅延が発生していました (bmo#1851871)
* 修正済み: 大きな SVG ファビコンが RSS フィードで表示されませんでした (bmo#1853895)
* 修正済み: コンテキストメニュー項目でホバー時の背景色が表示されませんでした (bmo#1852732)
* 修正済み: セキュリティ修正プログラム MFSA 2023-43 (bsc#1215575)
* CVE-2023-5168 (bmo#1846683) FilterNodeD2D1 における領域外書き込み
* CVE-2023-5169 (bmo#1846685) PathOps における領域外書き込み
* CVE-2023-5171 (bmo#1851599) Ion Compiler のメモリ解放後使用 (Use After Free)
* CVE-2023-5174 (bmo#1848454) Windows におけるプロセス生成時の二重解放
* CVE-2023-5176 (bmo#1836353、bmo#1842674、bmo#1843824、bmo#1843962、bmo#1848890、bmo#1850180、bmo#1850983、bmo#1851195) Firefox 118、Firefox ESR 115.3、および Thunderbird 115.3 で修正されたメモリの安全性のバグ。
- 新しい binutils でのビルド破損を修正するために、パッチ mozilla-fix-broken-ffmpeg.patch を追加 (bsc#1215309)
- デバッグ情報を -g1 に削減して i586 ビルドを修正。(bsc#1210168)
- Mozilla Thunderbird 115.2.3
* 変更済み: カード表示と垂直レイアウトが新しいプロファイルのデフォルトになりました (bmo#1849000)
* 修正済み: Go - フォルダメニューが無効になっていました (bmo#1849919)
* 修正済み: macOS で作成ウィンドウから開いたとき、[ツール] メニューが空白になっていました (bmo#1848155)
* 修正済み: IMAP サーバー上のメッセージから添付ファイルを削除すると、[削除済みとしてマーク] で設定されている場合にローカルコピーが破損していました (bmo#1135434)
* 修正済み: 手動で入力されたパスワードが、Yahoo メールなどの OAuth 認証アカウントで記憶されませんでした (bmo#1673446)
* 修正済み: Thunderbird の再起動後に、クイックフィルターの「フィルター適用を保持」が保持されませんでした (bmo#1846880、bmo#1849221)
* 修正済み: トップレベルのクイックフィルター設定が再起動後に保持されませんでした (bmo#1849249)
* 修正済み: 件名に非 ASCII 文字を含む新しいメッセージの通知が文字化けしていました (bmo#1842384)
* 修正済み: スレッド内の一部のメッセージが既に既読の場合、[スレッドを既読としてマーク] が機能しませんでした (bmo#1850850)
* 修正済み: NNTP サブスクライブダイアログの新しいグループタブが期待どおりに動作しませんでした (bmo#1848366)
* 修正済み: [指定サイズより大きいファイルの共有] フィールドで負の値が許容されていました(bmo#1850281)
* 修正済み: サブフォルダーを含む親フォルダーを削除すると、Thunderbird がクラッシュすることがありました (bmo#1851293)
* 修正済み: Thunderbird がアイドル状態のとき、[メッセージ送信エラー] が断続的に表示されました (bmo#1801668)
* 修正済み: カードビューで、フォーカスされているが選択されていないメッセージにフォーカスの視覚的な表示がありませんでした (bmo#1844263)
* 修正済み: メッセージを既読にした後も、Windows のタスクバーアイコン上の通知ドットが消えませんでした (bmo#1824889)
* 修正済み: 選択範囲に 19 件を超えるメッセージが含まれている場合、選択した複数のメッセージを同時に開くことができませんでした (bmo#1851563)
* 修正済み: BCC 経由で受信したメールへの返信で、[差出人] フィールドに既定の ID が誤って設定されていました (bmo#1851512)
* 修正済み: 送信トレイ内のメッセージ送信失敗が、ユーザーに常に通知されるとは限りませんでした (bmo#1851542)
* 修正済み: タグを編集した後、[タグ] ダイアログが正しく閉じませんでした (bmo#1852414)
* 修正済み: 作成ウィンドウの [ニュースグループ] フィールドで、候補のニュースグループ名がオートコンプリートされませんでした (bmo#1670457)
* 修正済み: ニュースグループメッセージを取り消す際に、送信者がユーザー自身の ID と一致するかどうかが確認されませんでした (bmo#1823274)
* 修正済み: 複数の招待者がいるイベントダイアログが画面の高さを超えて表示されていました (bmo#1848261)
* 修正済み: メッセージリストでメッセージのチェックボックスが一部隠れていました (bmo#1850760)
* 未解決: 統合フォルダーに一部のフォルダが表示されません ()
Tenable は、前述の記述ブロックを SUSE セキュリティアドバイザリから直接抽出しています。
Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。
ソリューション
影響を受ける MozillaThunderbird、MozillaThunderbird-translations-common や MozillaThunderbird-translations- その他のパッケージを更新してください。
プラグインの詳細
ファイル名: suse_SU-2023-4016-1.nasl
エージェント: unix
サポートされているセンサー: Agentless Assessment, Continuous Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Tenable Cloud Security, Tenable Self-Hosted Container Security, Nessus
リスク情報
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C
ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
現状ベクトル: CVSS:3.0/E:F/RL:O/RC:C
脆弱性情報
CPE: p-cpe:/a:novell:suse_linux:mozillathunderbird, p-cpe:/a:novell:suse_linux:mozillathunderbird-translations-other, p-cpe:/a:novell:suse_linux:mozillathunderbird-translations-common, cpe:/o:novell:suse_linux:15
必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list
エクスプロイトの容易さ: Exploits are available
CISA の既知の悪用された脆弱性の期限日: 2023/10/23