SUSE SLED15: MozillaThunderbird / MozillaThunderbird-translations-common / etc (SUSE-SU-2023:4016-1)

critical Nessus プラグイン ID 182798

Language:

概要

リモートの SUSE ホストに 1 つ以上のセキュリティ更新がありません。

説明

リモートの SUSE Linux SLED15 / SLED_SAP15 / SLES15 / SLES_SAP15 / openSUSE 15 ホストには、SUSE-SU-2023:4016-1 のアドバイザリに記載された複数の脆弱性の影響を受けるパッケージがインストールされています。

セキュリティ修正:
- CVE-2023-5217: libvpx におけるヒープバッファオーバーフローを修正。(bsc#1215814)
- CVE-2023-5168: FilterNodeD2D1 における領域外書き込み。(bsc#1215575)
- CVE-2023-5169: PathOps における領域外書き込み。(bsc#1215575)
- CVE-2023-5171: Ion Compiler のメモリ解放後使用 (Use After Free)。(bsc#1215575)
- CVE-2023-5174: Windows におけるプロセス生成時の二重解放。(bsc#1215575)
- CVE-2023-5176: Firefox 118、Firefox ESR 115.3、および Thunderbird 115.3 で修正されたメモリの安全性のバグ。
(bsc#1215575)

その他の修正:

- Mozilla Thunderbird 115.3.1
* 修正済み: 統合フォルダビューで、一部のフォルダに誤った統合フォルダの親が設定されていました (bmo#1852525)
* 修正済み:「Edit message as new」で、選択したメッセージの暗号化された件名が復元されませんでした (bmo#1788534)
* 修正済み: 年次繰り返しイベントを含む一部の CalDAV カレンダーをインポートすると、Thunderbird がフリーズしていました (bmo#1850732)
* 修正済み: セキュリティ修正プログラム MFSA 2023-44 (bsc#1215814)
* CVE-2023-5217 (bmo#1855550) libvpx におけるヒープバッファオーバーフロー
- Mozilla Thunderbird 115.3
* 修正済み: ホスト名がドット (「.」) で終わるプロファイルを Thunderbird がインポートできませんでした (bmo#1825374)
* 修正済み: メッセージプレビューでメッセージヘッダーが表示されないことがありました (bmo#1840943)
* 修正済み: 既存のフォルダーのタイプフラグを設定しても、子孫フォルダーが統合フォルダービューに追加されませんでした (bmo#1848904)
* 修正済み: Thunderbird は一時メールファイルをすべて削除できない場合があり、その結果メッセージを送信できないことがありました (bmo#673703)
* 修正済み: メッセージ作成ウィンドウのステータスバーを非表示にできませんでした (bmo#1806860)
* 修正済み: メッセージプレビューでメッセージヘッダーが断続的に表示されないことがありました (bmo#1840943)
* 修正済み: OAuth2 が、Thunderbird 102.6.1 以前に作成された一部のプロファイルで機能しませんでした (bmo#1814823)
* 修正済み: Vertical View では、復号された件名がメッセージリストで省略記号(「...」)として表示されていました (bmo#1831764)
* 修正済み: 集約アドレス設定 (mail.showCondensedAddresses) で、メッセージリストに集約アドレスが表示されませんでした (bmo#1831280)
* 修正済み: IMAP UTF-8 が有効な状態で、スパムフォルダーに非 ASCII 名を割り当てることができませんでした (bmo#1816332)
* 修正済み: 画像の読み込みが完了するまでメッセージヘッダーが表示されず、大きな画像を含むメッセージで目立つ遅延が発生していました (bmo#1851871)
* 修正済み: 大きな SVG ファビコンが RSS フィードで表示されませんでした (bmo#1853895)
* 修正済み: コンテキストメニュー項目でホバー時の背景色が表示されませんでした (bmo#1852732)
* 修正済み: セキュリティ修正プログラム MFSA 2023-43 (bsc#1215575)
* CVE-2023-5168 (bmo#1846683) FilterNodeD2D1 における領域外書き込み
* CVE-2023-5169 (bmo#1846685) PathOps における領域外書き込み
* CVE-2023-5171 (bmo#1851599) Ion Compiler のメモリ解放後使用 (Use After Free)
* CVE-2023-5174 (bmo#1848454) Windows におけるプロセス生成時の二重解放
* CVE-2023-5176 (bmo#1836353、bmo#1842674、bmo#1843824、bmo#1843962、bmo#1848890、bmo#1850180、bmo#1850983、bmo#1851195) Firefox 118、Firefox ESR 115.3、および Thunderbird 115.3 で修正されたメモリの安全性のバグ。
- 新しい binutils でのビルド破損を修正するために、パッチ mozilla-fix-broken-ffmpeg.patch を追加 (bsc#1215309)
- デバッグ情報を -g1 に削減して i586 ビルドを修正。(bsc#1210168)
- Mozilla Thunderbird 115.2.3
* 変更済み: カード表示と垂直レイアウトが新しいプロファイルのデフォルトになりました (bmo#1849000)
* 修正済み: Go - フォルダメニューが無効になっていました (bmo#1849919)
* 修正済み: macOS で作成ウィンドウから開いたとき、[ツール] メニューが空白になっていました (bmo#1848155)
* 修正済み: IMAP サーバー上のメッセージから添付ファイルを削除すると、[削除済みとしてマーク] で設定されている場合にローカルコピーが破損していました (bmo#1135434)
* 修正済み: 手動で入力されたパスワードが、Yahoo メールなどの OAuth 認証アカウントで記憶されませんでした (bmo#1673446)
* 修正済み: Thunderbird の再起動後に、クイックフィルターの「フィルター適用を保持」が保持されませんでした (bmo#1846880、bmo#1849221)
* 修正済み: トップレベルのクイックフィルター設定が再起動後に保持されませんでした (bmo#1849249)
* 修正済み: 件名に非 ASCII 文字を含む新しいメッセージの通知が文字化けしていました (bmo#1842384)
* 修正済み: スレッド内の一部のメッセージが既に既読の場合、[スレッドを既読としてマーク] が機能しませんでした (bmo#1850850)
* 修正済み: NNTP サブスクライブダイアログの新しいグループタブが期待どおりに動作しませんでした (bmo#1848366)
* 修正済み: [指定サイズより大きいファイルの共有] フィールドで負の値が許容されていました(bmo#1850281)
* 修正済み: サブフォルダーを含む親フォルダーを削除すると、Thunderbird がクラッシュすることがありました (bmo#1851293)
* 修正済み: Thunderbird がアイドル状態のとき、[メッセージ送信エラー] が断続的に表示されました (bmo#1801668)
* 修正済み: カードビューで、フォーカスされているが選択されていないメッセージにフォーカスの視覚的な表示がありませんでした (bmo#1844263)
* 修正済み: メッセージを既読にした後も、Windows のタスクバーアイコン上の通知ドットが消えませんでした (bmo#1824889)
* 修正済み: 選択範囲に 19 件を超えるメッセージが含まれている場合、選択した複数のメッセージを同時に開くことができませんでした (bmo#1851563)
* 修正済み: BCC 経由で受信したメールへの返信で、[差出人] フィールドに既定の ID が誤って設定されていました (bmo#1851512)
* 修正済み: 送信トレイ内のメッセージ送信失敗が、ユーザーに常に通知されるとは限りませんでした (bmo#1851542)
* 修正済み: タグを編集した後、[タグ] ダイアログが正しく閉じませんでした (bmo#1852414)
* 修正済み: 作成ウィンドウの [ニュースグループ] フィールドで、候補のニュースグループ名がオートコンプリートされませんでした (bmo#1670457)
* 修正済み: ニュースグループメッセージを取り消す際に、送信者がユーザー自身の ID と一致するかどうかが確認されませんでした (bmo#1823274)
* 修正済み: 複数の招待者がいるイベントダイアログが画面の高さを超えて表示されていました (bmo#1848261)
* 修正済み: メッセージリストでメッセージのチェックボックスが一部隠れていました (bmo#1850760)
* 未解決: 統合フォルダーに一部のフォルダが表示されません ()

Tenable は、前述の記述ブロックを SUSE セキュリティアドバイザリから直接抽出しています。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

影響を受ける MozillaThunderbird、MozillaThunderbird-translations-common や MozillaThunderbird-translations- その他のパッケージを更新してください。

参考資料

https://bugzilla.suse.com/1210168

https://bugzilla.suse.com/1215309

https://bugzilla.suse.com/1215575

https://bugzilla.suse.com/1215814

https://www.suse.com/security/cve/CVE-2023-5168

https://www.suse.com/security/cve/CVE-2023-5169

https://www.suse.com/security/cve/CVE-2023-5171

https://www.suse.com/security/cve/CVE-2023-5174

https://www.suse.com/security/cve/CVE-2023-5176

https://www.suse.com/security/cve/CVE-2023-5217

http://www.nessus.org/u?e1a6e41c

プラグインの詳細

深刻度: Critical

ID: 182798

ファイル名: suse_SU-2023-4016-1.nasl

バージョン: 1.1

タイプ: Local

エージェント: unix

公開日: 2023/10/10

更新日: 2026/6/26

サポートされているセンサー: Agentless Assessment, Continuous Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Tenable Cloud Security, Tenable Self-Hosted Container Security, Nessus

リスク情報

VPR

リスクファクター: High

スコア: 7.9

パーセンタイル: 99.36

CVSS v2

リスクファクター: Critical

基本値: 10

現状値: 8.3

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

CVSS スコアのソース: CVE-2023-5217

CVSS v3

リスクファクター: Critical

基本値: 9.8

現状値: 9.1

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

現状ベクトル: CVSS:3.0/E:F/RL:O/RC:C

CVSS スコアのソース: CVE-2023-5176

脆弱性情報

CPE: p-cpe:/a:novell:suse_linux:mozillathunderbird, p-cpe:/a:novell:suse_linux:mozillathunderbird-translations-other, p-cpe:/a:novell:suse_linux:mozillathunderbird-translations-common, cpe:/o:novell:suse_linux:15

必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2023/10/9

脆弱性公開日: 2023/9/26

CISA の既知の悪用された脆弱性の期限日: 2023/10/23

参照情報

CVE: CVE-2023-5168, CVE-2023-5169, CVE-2023-5171, CVE-2023-5174, CVE-2023-5176, CVE-2023-5217

SuSE: SUSE-SU-2023:4016-1