SUSE SLED15 / SLES15 / openSUSE 15 セキュリティ更新: MozillaThunderbird (SUSE-SU-2025:02546-1)
critical Nessus プラグイン ID 243222
Language:
概要
リモートの SUSE ホストに 1 つ以上のセキュリティ更新がありません。説明
リモートの SUSE Linux SLED15 / SLED_SAP15 / SLES15 / SLES_SAP15 / openSUSE 15 ホストには、SUSE-SU-2025:02546-1 のアドバイザリに記載された複数の脆弱性の影響を受けるパッケージがインストールされています。Mozilla Thunderbird 140.1 (MFSA 2025-63) (bsc#1246664) に更新してください。
- CVE-2025-8027: JavaScript エンジンが、部分的な戻り値のみをスタックに書き込む (bmo#1968423)
- CVE-2025-8028: 大きなブランチテーブルにより、命令が切り捨てられる可能性がある (bmo#1971581)
- CVE-2025-8029: javascript: オブジェクトおよび埋め込みタグで実行される URL (bmo#1928021)
- CVE-2025-8036: DNS リバインドの回避 CORS (bmo#1960834)
- CVE-2025-8037: 名前のない Cookie がセキュア Cookie をシャドウ (bmo#1964767)
- CVE-2025-8030:「Copy as cURL」コマンドにおける潜在的なユーザー支援によるコード実行 (bmo#1968414)
- CVE-2025-8031: CSP レポートの不適切な URL 除去 (bmo#1971719)
- CVE-2025-8032: XSLT ドキュメントが CSP をバイパスする可能性がある (bmo#1974407)
- CVE-2025-8038: CSP frame-src がパスに対して正しく実施されていなかった (bmo#1808979)
- CVE-2025-8039: 検索用語が URL バーに残る (bmo#1970997)
- CVE-2025-8033: ジェネレーター向けの不適切な JavaScript 状態マシン (bmo#1973990)
- CVE-2025-8034: Firefox ESR 115.26、Firefox ESR 128.13、Thunderbird ESR 128.13、Firefox ESR 140.1、Thunderbird ESR 140.1、Firefox 141、Thunderbird 141 で修正されたメモリの安全性のバグ (bmo#1970422、bmo#1970422、bmo#1970422、bmo#1970422)
- CVE-2025-8040: Firefox ESR 140.1、Thunderbird ESR 140.1、Firefox 141、Thunderbird 141 で修正されたメモリの安全性のバグ (bmo#1975058、bmo#1975058、bmo#1975998、bmo#1975998)
- CVE-2025-8035: Firefox ESR 128.13、Thunderbird ESR 128.13、Firefox ESR 140.1、Thunderbird ESR 140.1、Firefox 141、Thunderbird 141 で修正されたメモリの安全性のバグ (bmo#1975961、bmo#1975961、bmo#1975961)
Mozilla Thunderbird 140.0.1 (MFSA 2025-54) (bsc#1244670) に更新してください。
- CVE-2025-6424: FontFaceSet のメモリ解放後使用 (Use-after-free) (bmo#1966423)
- CVE-2025-6425: WebCompat WebExtension が、永続的な UUID を漏洩 (bmo#1717672)
- CVE-2025-6426: macOS で実行可能なターミナルファイルを開く際に警告がない (bmo#1964385)
* CVE-2025-6427: connect-src コンテンツセキュリティポリシーの制限が回避される可能性 (bmo#1966927)
- CVE-2025-6429: URL の解析が不適切であるため、youtube.com の埋め込みが可能 (bmo#1970658)
- CVE-2025-6430: ファイルが埋め込みまたはオブジェクトタグに含まれる際に、Content-Disposition ヘッダーが無視される (bmo#1971140)
- CVE-2025-6432: DNS リクエストが設定済みの SOCKS プロキシの外側に漏洩する (bmo#1943804)
* CVE-2025-6433: WebAuthn により、ユーザーは無効な TLS 証明書のあるウェブページでチャレンジに署名することを許可する可能性 (bmo#1954033)
- CVE-2025-6434 HTTPS-Only の例外画面にクリックジャッキング遅延が不足していた (bmo#1955182)
* CVE-2025-6435: 開発者ツールの「名前を付けて保存」機能で、拡張子をサニタイズせずにファイルをダウンロードできる可能性 (bmo#1950056、bmo#1961777)
* CVE-2025-6436: Firefox 140 と Thunderbird 140 でメモリ安全性のバグが修正された (bmo#1941377、bmo#1960948、bmo#1966187、bmo#1966505、bmo#1970764)
Tenable は、前述の記述ブロックを SUSE セキュリティアドバイザリから直接抽出しています。
Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。
ソリューション
影響を受ける MozillaThunderbird、MozillaThunderbird-translations-common や MozillaThunderbird-translations- その他のパッケージを更新してください。参考資料
https://bugzilla.suse.com/1244670
https://bugzilla.suse.com/1246664
https://lists.suse.com/pipermail/sle-updates/2025-July/040955.html
https://www.suse.com/security/cve/CVE-2025-6424
https://www.suse.com/security/cve/CVE-2025-6425
https://www.suse.com/security/cve/CVE-2025-6426
https://www.suse.com/security/cve/CVE-2025-6427
https://www.suse.com/security/cve/CVE-2025-6429
https://www.suse.com/security/cve/CVE-2025-6430
https://www.suse.com/security/cve/CVE-2025-6432
https://www.suse.com/security/cve/CVE-2025-6433
https://www.suse.com/security/cve/CVE-2025-6434
https://www.suse.com/security/cve/CVE-2025-6435
https://www.suse.com/security/cve/CVE-2025-6436
https://www.suse.com/security/cve/CVE-2025-8027
https://www.suse.com/security/cve/CVE-2025-8028
https://www.suse.com/security/cve/CVE-2025-8029
https://www.suse.com/security/cve/CVE-2025-8030
https://www.suse.com/security/cve/CVE-2025-8031
https://www.suse.com/security/cve/CVE-2025-8032
https://www.suse.com/security/cve/CVE-2025-8033
https://www.suse.com/security/cve/CVE-2025-8034
https://www.suse.com/security/cve/CVE-2025-8035
https://www.suse.com/security/cve/CVE-2025-8036
https://www.suse.com/security/cve/CVE-2025-8037
https://www.suse.com/security/cve/CVE-2025-8038
プラグインの詳細
深刻度: Critical
ID: 243222
ファイル名: suse_SU-2025-02546-1.nasl
バージョン: 1.1
タイプ: local
エージェント: unix
ファミリー: SuSE Local Security Checks
公開日: 2025/7/31
更新日: 2025/7/31
サポートされているセンサー: Agentless Assessment, Continuous Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 6.7
CVSS v2
リスクファクター: Critical
基本値: 10
現状値: 7.4
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C
CVSS スコアのソース: CVE-2025-8040
CVSS v3
リスクファクター: Critical
基本値: 9.8
現状値: 8.5
ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C
CVSS スコアのソース: CVE-2025-8038
脆弱性情報
CPE: p-cpe:/a:novell:suse_linux:mozillathunderbird, p-cpe:/a:novell:suse_linux:mozillathunderbird-translations-other, p-cpe:/a:novell:suse_linux:mozillathunderbird-translations-common, cpe:/o:novell:suse_linux:15
必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list
エクスプロイトの容易さ: No known exploits are available
パッチ公開日: 2025/7/30
脆弱性公開日: 2025/6/24
参照情報
CVE: CVE-2025-6424, CVE-2025-6425, CVE-2025-6426, CVE-2025-6427, CVE-2025-6429, CVE-2025-6430, CVE-2025-6432, CVE-2025-6433, CVE-2025-6434, CVE-2025-6435, CVE-2025-6436, CVE-2025-8027, CVE-2025-8028, CVE-2025-8029, CVE-2025-8030, CVE-2025-8031, CVE-2025-8032, CVE-2025-8033, CVE-2025-8034, CVE-2025-8035, CVE-2025-8036, CVE-2025-8037, CVE-2025-8038, CVE-2025-8039, CVE-2025-8040
SuSE: SUSE-SU-2025:02546-1