SUSE SLES12 セキュリティ更新 : MozillaFirefox (SUSE-SU-2025:02531-1)
critical Nessus プラグイン ID 242953
Language:
概要
リモートの SUSE ホストに 1 つ以上のセキュリティ更新がありません。説明
リモートの SUSE Linux SLES12 ホストには、SUSE-SU-2025:02531-1 のアドバイザリに記載された複数の脆弱性の影響を受けるパッケージがインストールされています。- Firefox 延長サポート版 140.1.0 ESR
* MFSA-RESERVE-2025-1968423 (bmo#1968423) JavaScript エンジンが、部分的な戻り値のみをスタックに書き込む
* MFSA-RESERVE-2025-1971581 (bmo#1971581) 大きなブランチテーブルにより、命令が切り捨てられる可能性がある
* MFSA-RESERVE-2025-1928021 (bmo#1928021) CSP がオブジェクトおよび埋め込みタグの javascript の URL をブロックしない
* MFSA-RESERVE-2025-1960834 (bmo#1960834) DNS リバインドの回避 CORS
* MFSA-RESERVE-2025-1964767 (bmo#1964767) 名前のない Cookie がセキュア Cookie をシャドウ
* MFSA-RESERVE-2025-1968414 (bmo#1968414) Copy as cURL コマンドにおける潜在的なユーザー支援によるコード実行
* MFSA-RESERVE-2025-1971719 (bmo#1971719) CSP レポートの不適切な URL 除去
* MFSA-RESERVE-2025-1974407 (bmo#1974407) XSLT ドキュメントが CSP をバイパスする可能性がある
* MFSA-RESERVE-2025-1808979 (bmo#1808979) CSP frame-src がパスに対して正しく実施されていなかった
* MFSA-RESERVE-2025-1970997 (bmo#1970997) 検索用語が URL バーに残る
* MFSA-RESERVE-2025-1973990 (bmo#1973990) ジェネレーター向けの不適切な JavaScript 状態マシン
* MFSA-RESERVE-2025-1 (bmo#1970422、bmo#1970422、bmo#1970422、bmo#1970422) Firefox ESR 115.26、Thunderbird ESR 115.26、Firefox ESR 128.13、Firefox ESR 140.1、Thunderbird ESR 140.1、Firefox 141、Thunderbird 141 で修正されたメモリの安全性のバグ
* MFSA-RESERVE-2025-2 (bmo#1975058、bmo#1975058、bmo#1975998、bmo#1975998) Firefox ESR 140.1、Thunderbird ESR 140.1、Firefox 141、Thunderbird 141 で修正されたメモリの安全性のバグ
* MFSA-RESERVE-2025-3 (bmo#1975961、bmo#1975961、bmo#1975961) Firefox ESR 128.13、Firefox ESR 140.1、Thunderbird ESR 140.1、Firefox 141、Thunderbird 141 で修正されたメモリの安全性のバグ
さまざまなセキュリティ修正 MFSA 2025-59 (bsc#1246664):
- CVE-2025-8027: JavaScript エンジンが、部分的な戻り値のみをスタックに書き込む
- CVE-2025-8028: 大きなブランチテーブルにより、命令が切り捨てられる可能性がある
- CVE-2025-8029: javascript: オブジェクトおよび埋め込みタグで実行される URL
- CVE-2025-8036: DNS リバインドの回避 CORS
- CVE-2025-8037: 名前のない Cookie がセキュア Cookie をシャドウ
- CVE-2025-8030: Copy as cURL コマンドにおける潜在的なユーザー支援によるコード実行
- CVE-2025-8031: CSP レポートの不適切な URL 除去
- CVE-2025-8032: XSLT ドキュメントが CSP をバイパスする可能性がある
- CVE-2025-8038: CSP frame-src がパスに対して正しく実施されていなかった
- CVE-2025-8039: 検索用語が URL バーに残る
- CVE-2025-8033: ジェネレーター向けの不適切な JavaScript 状態マシン
- CVE-2025-8034: Firefox ESR 115.26、Firefox ESR 128.13、Thunderbird ESR 128.13、Firefox ESR 140.1、Thunderbird ESR 140.1、Firefox 141、Thunderbird 141 で修正されたメモリの安全性のバグ
- CVE-2025-8040: Firefox ESR 140.1、Thunderbird ESR 140.1、Firefox 141、Thunderbird 141 で修正されたメモリの安全性のバグ
- CVE-2025-8035: Firefox ESR 128.13、Thunderbird ESR 128.13、Firefox ESR 140.1、Thunderbird ESR 140.1、Firefox 141、Thunderbird 141 で修正されたメモリの安全性のバグ
Tenable は、前述の記述ブロックを SUSE セキュリティアドバイザリから直接抽出しています。
Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。
ソリューション
影響を受ける MozillaFirefox、MozillaFirefox-devel および / または MozillaFirefox-translations-common パッケージを更新してください。参考資料
https://bugzilla.suse.com/1246664
https://lists.suse.com/pipermail/sle-updates/2025-July/040939.html
https://www.suse.com/security/cve/CVE-2025-8027
https://www.suse.com/security/cve/CVE-2025-8028
https://www.suse.com/security/cve/CVE-2025-8029
https://www.suse.com/security/cve/CVE-2025-8030
https://www.suse.com/security/cve/CVE-2025-8031
https://www.suse.com/security/cve/CVE-2025-8032
https://www.suse.com/security/cve/CVE-2025-8033
https://www.suse.com/security/cve/CVE-2025-8034
https://www.suse.com/security/cve/CVE-2025-8035
https://www.suse.com/security/cve/CVE-2025-8036
https://www.suse.com/security/cve/CVE-2025-8037
https://www.suse.com/security/cve/CVE-2025-8038
プラグインの詳細
深刻度: Critical
ID: 242953
ファイル名: suse_SU-2025-02531-1.nasl
バージョン: 1.1
タイプ: local
エージェント: unix
ファミリー: SuSE Local Security Checks
公開日: 2025/7/29
更新日: 2025/7/29
サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 6.7
CVSS v2
リスクファクター: Critical
基本値: 10
現状値: 7.4
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C
CVSS スコアのソース: CVE-2025-8040
CVSS v3
リスクファクター: Critical
基本値: 9.8
現状値: 8.5
ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C
CVSS スコアのソース: CVE-2025-8038
脆弱性情報
CPE: cpe:/o:novell:suse_linux:12, p-cpe:/a:novell:suse_linux:mozillafirefox-devel, p-cpe:/a:novell:suse_linux:mozillafirefox-translations-common, p-cpe:/a:novell:suse_linux:mozillafirefox
必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list
エクスプロイトの容易さ: No known exploits are available
パッチ公開日: 2025/7/28
脆弱性公開日: 2025/7/22
参照情報
CVE: CVE-2025-8027, CVE-2025-8028, CVE-2025-8029, CVE-2025-8030, CVE-2025-8031, CVE-2025-8032, CVE-2025-8033, CVE-2025-8034, CVE-2025-8035, CVE-2025-8036, CVE-2025-8037, CVE-2025-8038, CVE-2025-8039, CVE-2025-8040
SuSE: SUSE-SU-2025:02531-1