SUSE SLES12: MozillaFirefox / MozillaFirefox-devel / etc (SUSE-SU-2023:4912-1)

high Nessus プラグイン ID 187117

Language:

概要

リモートの SUSE ホストに 1 つ以上のセキュリティ更新がありません。

説明

リモートの SUSE Linux SLES12 / SLES_SAP12 ホストには、SUSE-SU-2023:4912-1 のアドバイザリに記載された複数の脆弱性の影響を受けるパッケージがインストールされています。

- Firefox 拡張サポートリリース 115.6.0 ESR changelog-entry(bsc#1217974)
* CVE-2023-6856:Mesa VM ドライバーを伴う WebGL DrawElementsInstanced メソッドに影響を与えるヒープバッファオーバーフロー(bmo#1843782)。
* CVE-2023-6857:シンボリックリンクが予想されるよりも小さいバッファに解決される可能性があります(bmo#1796023)。
* CVE-2023-6858:nsTextFragment におけるヒープバッファオーバーフロー(bmo#1826791)。
* CVE-2023-6859:PR_GetIdentitiesLayer における use-after-free(bmo#1840144)。
* CVE-2023-6860:VideoBridge のテクスチャ検証不足による潜在的なサンドボックスのエスケープ(bmo#1854669)。
* CVE-2023-6861:ヒープバッファオーバーフローは、ヘッドレスモードの nsWindow::P ickerOpen(void) に影響を与えました(bmo#1864118)。
* CVE-2023-6862:nsDNSService における use-after-free(bsc#1868042)。
* CVE-2023-6863:ShutdownObserver() における定義されていない動作(bmo#1868901)。
* CVE-2023-6864:メモリの安全性のバグが、Firefox 121、Firefox ESR 115.6、Thunderbird 115.6 で修正されています。
* CVE-2023-6865:EncryptingOutputStream における初期化されていないデータの漏洩の可能性(bmo#1864123)。
* CVE-2023-6867:ポップアップトランジションを使用するクリックジャッキング権限プロンプト(bmo#1863863)。

- 修正済み:さまざまなセキュリティ修正およびその他の品質改善 MFSA 2023-50 (bsc#1217230)
* CVE-2023-6204 (bmo#1841050)WebGL2 blitFramebuffer での領域外メモリアクセス
* CVE-2023-6205 (bmo#1854076)MessagePort::Entangled の use-after-free
* CVE-2023-6206 (bmo#1857430)フルスクリーン移行を使用するクリックジャッキング権限プロンプト
* CVE-2023-6207 (bmo#1861344)ReadableByteStreamQueueEntry::Buffer での use-after-free
* 選択 API を使用する CVE-2023-6208 (bmo#1855345)が、コンテンツをプライマリ選択 X11 コピーします。
* CVE-2023-6209 (bmo#1858570)「///」で始まる相対 URL の不適切な解析
* CVE-2023-6212 (bmo#1658432、 bmo#1820983、 bmo#1829252、 bmo#1856072、 bmo#1856091、 bmo#1859030、 bmo#1860943、 bmo#1862782)Firefox 120、Firefox ESR 115.5、および Thunderbird で修正されたメモリ安全性のバグ 115.5

Tenable は、前述の記述ブロックを SUSE セキュリティアドバイザリから直接抽出しています。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

影響を受ける MozillaFirefox、MozillaFirefox-devel および / または MozillaFirefox-translations-common パッケージを更新してください。

参考資料

https://bugzilla.suse.com/1217230

https://bugzilla.suse.com/1217974

https://www.suse.com/security/cve/CVE-2023-6204

https://www.suse.com/security/cve/CVE-2023-6205

https://www.suse.com/security/cve/CVE-2023-6206

https://www.suse.com/security/cve/CVE-2023-6207

https://www.suse.com/security/cve/CVE-2023-6208

https://www.suse.com/security/cve/CVE-2023-6209

https://www.suse.com/security/cve/CVE-2023-6212

https://www.suse.com/security/cve/CVE-2023-6856

https://www.suse.com/security/cve/CVE-2023-6857

https://www.suse.com/security/cve/CVE-2023-6858

https://www.suse.com/security/cve/CVE-2023-6859

https://www.suse.com/security/cve/CVE-2023-6860

https://www.suse.com/security/cve/CVE-2023-6861

https://www.suse.com/security/cve/CVE-2023-6862

https://www.suse.com/security/cve/CVE-2023-6863

https://www.suse.com/security/cve/CVE-2023-6864

https://www.suse.com/security/cve/CVE-2023-6865

https://www.suse.com/security/cve/CVE-2023-6867

http://www.nessus.org/u?70632f1f

プラグインの詳細

深刻度: High

ID: 187117

ファイル名: suse_SU-2023-4912-1.nasl

バージョン: 1.4

タイプ: Local

エージェント: unix

公開日: 2023/12/20

更新日: 2026/6/25

サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Tenable Cloud Security, Tenable Self-Hosted Container Security, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 4.9

パーセンタイル: 57.12

CVSS v2

リスクファクター: Critical

基本値: 10

現状値: 7.4

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

CVSS スコアのソース: CVE-2023-6864

CVSS v3

リスクファクター: High

基本値: 8.8

現状値: 7.7

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C

脆弱性情報

CPE: p-cpe:/a:novell:suse_linux:mozillafirefox-translations-common, p-cpe:/a:novell:suse_linux:mozillafirefox, p-cpe:/a:novell:suse_linux:mozillafirefox-devel, cpe:/o:novell:suse_linux:12

必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2023/12/19

脆弱性公開日: 2023/11/21

参照情報

CVE: CVE-2023-6204, CVE-2023-6205, CVE-2023-6206, CVE-2023-6207, CVE-2023-6208, CVE-2023-6209, CVE-2023-6212, CVE-2023-6856, CVE-2023-6857, CVE-2023-6858, CVE-2023-6859, CVE-2023-6860, CVE-2023-6861, CVE-2023-6862, CVE-2023-6863, CVE-2023-6864, CVE-2023-6865, CVE-2023-6867

IAVA: 2023-A-0702-S

SuSE: SUSE-SU-2023:4912-1