openSUSE 16: MozillaThunderbird / MozillaThunderbird-openpgp-librnp / etc (openSUSE-SU-2026:21168-1)

critical Nessus プラグイン ID 324059

Language:

概要

リモートの openSUSE ホストに 1 つ以上のセキュリティ アップデートがありません。

説明

リモートの openSUSE 16 ホストに、複数の脆弱性の影響を受けているパッケージがインストールされています。これらの脆弱性は openSUSE-SU-2026:21168-1 アドバイザリで言及されています。

MozillaThunderbird の変更:

- Mozilla Thunderbird 140.12.0 ESR MFSA 2026-61 (bsc#1268071)
* CVE-2026-12289 (bmo#2023443) Graphics: WebRender コンポーネントの権限昇格
* CVE-2026-12290 (bmo#2024852) Thunderbird ESR 140.12 で修正されたメモリの安全性のバグ
* CVE-2026-12291 (bmo#2036929) Networking: HTTP コンポーネントのメモリ解放後使用 (Use-after-free)
* CVE-2026-12292 (bmo#2038465) Web Audio コンポーネントの不適切な境界条件
* CVE-2026-12294 (bmo#2039873) DOM: Workers コンポーネントのサンドボックスエスケープ
* CVE-2026-12295 (bmo#2040160) DOM: Navigation コンポーネントのサンドボックスエスケープ
* CVE-2026-12298 (bmo#2041981) Thunderbird ESR 140.12 で修正されたメモリの安全性のバグ
* CVE-2026-12296 (bmo#2040515) Security: Process Sandboxing コンポーネントのサンドボックスエスケープ
* CVE-2026-12297 (bmo#2041610) Networking コンポーネントの不適切な境界条件によるサンドボックスのエスケープ
* CVE-2026-12299 (bmo#2043139) DOM: Core & HTML コンポーネントの JIT ミスコンパイル
* CVE-2026-12329 (bmo#2044738) Thunderbird ESR 140.12 で修正されたメモリの安全性のバグ
* CVE-2026-12302 (bmo#2034489) DOM: Security コンポーネントの軽減バイパス
* CVE-2026-12304 (bmo#2034944) Networking: Cookies コンポーネントでの同一生成元ポリシーのバイパス
* CVE-2026-12305 (bmo#2037290) Thunderbird ESR 140.12 で修正されたメモリの安全性のバグ
* CVE-2026-12306 (bmo#2037323) Thunderbird ESR 140.12 で修正されたメモリの安全性のバグ
* CVE-2026-12307 (bmo#2038133) Thunderbird ESR 140.12 で修正されたメモリの安全性のバグ
* CVE-2026-12308 (bmo#2038302) Thunderbird ESR 140.12 で修正されたメモリの安全性のバグ
* CVE-2026-12309 (bmo#2038476) Thunderbird ESR 140.12 で修正されたメモリの安全性のバグ
* CVE-2026-12310 (bmo#2039707) Thunderbird ESR 140.12 で修正されたメモリの安全性のバグ
* CVE-2026-12311 (bmo#2040177) Security:
Process Sandboxing コンポーネントの情報漏洩、サンドボックスエスケープ
* CVE-2026-12312 (bmo#2040383) Thunderbird ESR 140.12 で修正されたメモリの安全性のバグ
* CVE-2026-12313 (bmo#2040477) Security:
Process Sandboxing コンポーネントの情報漏洩、サンドボックスエスケープ
* CVE-2026-12314 (bmo#2041856) Thunderbird ESR 140.12 で修正されたメモリの安全性のバグ
* CVE-2026-12315 (bmo#2042058) DOM: Security コンポーネントの軽減バイパス
* CVE-2026-12330 (bmo#2029326) Internationalization コンポーネントの不適切な境界条件
* CVE-2026-12324 (bmo#2038444) Graphics: CanvasWebGL コンポーネントの不適切な境界条件
* CVE-2026-12325 (bmo#2039443) Graphics: ImageLib コンポーネントのサービス拒否
* CVE-2026-12327 (bmo#2011842、bmo#2023902、bmo#2025512、bmo#2027312、bmo#2029444、bmo#2036571、bmo#2036900、bmo#2036936、bmo#2037995、bmo#2038551、bmo#2040717、bmo#2042724) Firefox ESR 140.12、Thunderbird ESR 140.12、Firefox 152 および Thunderbird 152 で修正されたメモリの安全性のバグ
* CVE-2026-12328 (bmo#2029402、bmo#2038477、bmo#2039726、bmo#2041373、bmo#2042268、bmo#2042451、bmo#2042782、bmo#2042858、bmo#2042929、bmo#2042965、bmo#2043213) Firefox ESR 115.37、Firefox ESR 140.12、Thunderbird ESR 140.12、Firefox 152、Thunderbird 152 で修正されたメモリの安全性のバグ。

- Mozilla Thunderbird 140.11.0 ESR MFSA 2026-51 (bsc#1265212)
* CVE-2026-8946 (bmo#2029070) Audio/Video: Web Codecs コンポーネントの不適切な境界条件
* CVE-2026-8388 (bmo#2036978) JavaScript Engine: JIT コンポーネントでの不適切な境界条件
* CVE-2026-8947 (bmo#2038439) DOM: Bindings (WebIDL) コンポーネントのメモリ解放後使用 (Use After Free)
* CVE-2026-8391 (bmo#2038575) JavaScript Engine コンポーネントのその他の問題
* CVE-2026-8401 (bmo#2038679) Profile Backup コンポーネントでのサンドボックスエスケープ
* CVE-2026-8949 (bmo#1355639) Widget: Win32 コンポーネントの整数オーバーフロー
* CVE-2026-8950 (bmo#1965430) Networking: HTTP コンポーネントでの同一生成元ポリシーのバイパス
* CVE-2026-8953 (bmo#2029511) Disability Access API コンポーネントの use-after-free によるサンドボックスのエスケープ
* CVE-2026-8954 (bmo#2030747) Audio/Video コンポーネントにおける不適切な境界条件および整数オーバーフロー
* CVE-2026-8955 (bmo#2031064) DOM: Workers コンポーネントの権限昇格
* CVE-2026-8956 (bmo#2032427) Networking: JAR コンポーネントの整数オーバーフロー
* CVE-2026-8957 (bmo#2033850) Enterprise Policies コンポーネントの権限昇格
* CVE-2026-8958 (bmo#2034713) Security:
Process Sandboxing コンポーネントの情報漏洩、サンドボックスエスケープ
* CVE-2026-8959 (bmo#2034754) Widget: Win32 コンポーネントの不適切な境界条件によるサンドボックスのエスケープ
* CVE-2026-8961 (bmo#1962625) Form Autofill コンポーネントのなりすまし問題
* CVE-2026-8962 (bmo#2004804) DOM: Security コンポーネントの軽減バイパス
* CVE-2026-8968 (bmo#2030467) Audio/Video:
Web Codecs コンポーネントの無効なポインターによるサービス拒否
* CVE-2026-8970 (bmo#2032174) Security コンポーネントの権限昇格
* CVE-2026-8974 (bmo#1784128, bmo#1883230, bmo#1983677, bmo#2022390, bmo#2023116, bmo#2023657, bmo#2024255, bmo#2024418, bmo#2024441, bmo#2024447, bmo#2024966, bmo#2025412, bmo#2025467, bmo#2025940, bmo#2025950, bmo#2025956, bmo#2026284, bmo#2027247, bmo#2027255, bmo#2027288, bmo#2027306, bmo#2027322, bmo#2027332, bmo#2027333, bmo#2028266, bmo#2028292, bmo#2028319, bmo#2028526, bmo#2028870, bmo#2028876, bmo#2028882, bmo#2029062, bmo#2029309, bmo#2029414, bmo#2029422, bmo#2029428, bmo#2029447, bmo#2029732, bmo#2029785, bmo#2029793, bmo#2029813, bmo#2029899, bmo#2031028, bmo#2031457, bmo#2032039, bmo#2033610, bmo#2033854, bmo#2034498, bmo#2034628, bmo#2034978, bmo#2035966, bmo#2036668, bmo#2036905, bmo#2036930) Thunderbird 140.11と Thunderbird 151 で修正されたメモリ安全性に関するバグ
* CVE-2026-8975 (bmo#1860195、bmo#2029325、bmo#2029429、bmo#2029910、bmo#2035915、bmo#2038669、bmo#2038678) Thunderbird 140.11 と Thunderbird 151 で修正されたメモリ安全性に関するバグ

- Mozilla Thunderbird 140.10.2 MFSA 2026-44 (bsc#1264378)
* CVE-2026-8090 (bmo#2034352) DOM: Networking コンポーネントの use-after-free
* CVE-2026-8094 (bmo#2035939) WebRTC コンポーネントのその他の問題
* CVE-2026-8092 (bmo#1806249, bmo#2021977, bmo#2022576, bmo#2022722, bmo#2024439, bmo#2027883, bmo#2029463, bmo#2030323, bmo#2032042, bmo#2032043, bmo#2033270, bmo#2033637, bmo#2034422, bmo#2034496, bmo#2035879, bmo#2036516) Thunderbird ESR 140.10.2、Thunderbird ESR 150.0.2 で修正されたメモリの安全性のバグ

- Mozilla Thunderbird 140.10.1 ESR MFSA 2026-39 (bsc#1263110)
* CVE-2026-7320 (bmo#2027433) Audio/Video コンポーネントの不適切な境界条件による情報漏洩
* CVE-2026-7321 (bmo#2029461) WebRTC: Networking コンポーネントの不適切な境界条件によるサンドボックスのエスケープ
* CVE-2026-7322 (bmo#2021904, bmo#2022731, bmo#2027158, bmo#2027733, bmo#2027973, bmo#2027976, bmo#2028231, bmo#2028731, bmo#2028886, bmo#2029067, bmo#2029700, bmo#2029724, bmo#2029806, bmo#2029814, bmo#2030108, bmo#2030111, bmo#2031524, bmo#2031921, bmo#2032040) Thunderbird ESR 140.10.1、Thunderbird ESR 150.0.1 で修正されたメモリの安全性のバグ
* CVE-2026-7323 (bmo#2028537、bmo#2029911、bmo#2031121、bmo#2033602) Thunderbird ESR 140.10.1、Thunderbird ESR 150.0.1 で修正されたメモリの安全性のバグ

Tenable は、前述の記述ブロックを SUSE セキュリティアドバイザリから直接抽出しています。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

影響を受ける MozillaThunderbird、MozillaThunderbird-openpgp-librnp、MozillaThunderbird-translations-common、MozillaThunderbird-translations-other パッケージを更新してください。

参考資料

https://bugzilla.suse.com/1158957

https://bugzilla.suse.com/1263110

https://bugzilla.suse.com/1264378

https://bugzilla.suse.com/1265212

https://bugzilla.suse.com/1268071

https://www.suse.com/security/cve/CVE-2026-12289

https://www.suse.com/security/cve/CVE-2026-12290

https://www.suse.com/security/cve/CVE-2026-12291

https://www.suse.com/security/cve/CVE-2026-12292

https://www.suse.com/security/cve/CVE-2026-12294

https://www.suse.com/security/cve/CVE-2026-12295

https://www.suse.com/security/cve/CVE-2026-12296

https://www.suse.com/security/cve/CVE-2026-12297

https://www.suse.com/security/cve/CVE-2026-12298

https://www.suse.com/security/cve/CVE-2026-12299

https://www.suse.com/security/cve/CVE-2026-12302

https://www.suse.com/security/cve/CVE-2026-12304

https://www.suse.com/security/cve/CVE-2026-12305

https://www.suse.com/security/cve/CVE-2026-12306

https://www.suse.com/security/cve/CVE-2026-12307

https://www.suse.com/security/cve/CVE-2026-12308

https://www.suse.com/security/cve/CVE-2026-12309

https://www.suse.com/security/cve/CVE-2026-12310

https://www.suse.com/security/cve/CVE-2026-12311

https://www.suse.com/security/cve/CVE-2026-12312

https://www.suse.com/security/cve/CVE-2026-12313

https://www.suse.com/security/cve/CVE-2026-12314

https://www.suse.com/security/cve/CVE-2026-12315

https://www.suse.com/security/cve/CVE-2026-12324

https://www.suse.com/security/cve/CVE-2026-12325

https://www.suse.com/security/cve/CVE-2026-12327

https://www.suse.com/security/cve/CVE-2026-12328

https://www.suse.com/security/cve/CVE-2026-12329

https://www.suse.com/security/cve/CVE-2026-12330

https://www.suse.com/security/cve/CVE-2026-7320

https://www.suse.com/security/cve/CVE-2026-7321

https://www.suse.com/security/cve/CVE-2026-7322

https://www.suse.com/security/cve/CVE-2026-7323

https://www.suse.com/security/cve/CVE-2026-8090

https://www.suse.com/security/cve/CVE-2026-8092

https://www.suse.com/security/cve/CVE-2026-8094

https://www.suse.com/security/cve/CVE-2026-8388

https://www.suse.com/security/cve/CVE-2026-8391

https://www.suse.com/security/cve/CVE-2026-8401

https://www.suse.com/security/cve/CVE-2026-8946

https://www.suse.com/security/cve/CVE-2026-8947

https://www.suse.com/security/cve/CVE-2026-8949

https://www.suse.com/security/cve/CVE-2026-8950

https://www.suse.com/security/cve/CVE-2026-8953

https://www.suse.com/security/cve/CVE-2026-8954

https://www.suse.com/security/cve/CVE-2026-8955

https://www.suse.com/security/cve/CVE-2026-8956

https://www.suse.com/security/cve/CVE-2026-8957

https://www.suse.com/security/cve/CVE-2026-8958

https://www.suse.com/security/cve/CVE-2026-8959

https://www.suse.com/security/cve/CVE-2026-8961

https://www.suse.com/security/cve/CVE-2026-8962

https://www.suse.com/security/cve/CVE-2026-8968

https://www.suse.com/security/cve/CVE-2026-8970

https://www.suse.com/security/cve/CVE-2026-8974

https://www.suse.com/security/cve/CVE-2026-8975

プラグインの詳細

深刻度: Critical

ID: 324059

ファイル名: openSUSE-2026-21168-1.nasl

バージョン: 1.1

タイプ: Local

エージェント: unix

公開日: 2026/7/1

更新日: 2026/7/1

サポートされているセンサー: Continuous Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Tenable Cloud Security, Tenable Self-Hosted Container Security, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 6.9

パーセンタイル: 96.92

CVSS v2

リスクファクター: Critical

基本値: 10

現状値: 7.4

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

CVSS スコアのソース: CVE-2026-8975

CVSS v3

リスクファクター: Critical

基本値: 9.8

現状値: 8.5

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C

CVSS スコアのソース: CVE-2026-8956

脆弱性情報

CPE: p-cpe:/a:novell:opensuse:mozillathunderbird, p-cpe:/a:novell:opensuse:mozillathunderbird-translations-common, p-cpe:/a:novell:opensuse:mozillathunderbird-translations-other, cpe:/o:novell:opensuse:16.0, p-cpe:/a:novell:opensuse:mozillathunderbird-openpgp-librnp

必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2026/6/29

脆弱性公開日: 2026/4/21

参照情報

CVE: CVE-2026-12289, CVE-2026-12290, CVE-2026-12291, CVE-2026-12292, CVE-2026-12294, CVE-2026-12295, CVE-2026-12296, CVE-2026-12297, CVE-2026-12298, CVE-2026-12299, CVE-2026-12302, CVE-2026-12304, CVE-2026-12305, CVE-2026-12306, CVE-2026-12307, CVE-2026-12308, CVE-2026-12309, CVE-2026-12310, CVE-2026-12311, CVE-2026-12312, CVE-2026-12313, CVE-2026-12314, CVE-2026-12315, CVE-2026-12324, CVE-2026-12325, CVE-2026-12327, CVE-2026-12328, CVE-2026-12329, CVE-2026-12330, CVE-2026-7320, CVE-2026-7321, CVE-2026-7322, CVE-2026-7323, CVE-2026-8090, CVE-2026-8092, CVE-2026-8094, CVE-2026-8388, CVE-2026-8391, CVE-2026-8401, CVE-2026-8946, CVE-2026-8947, CVE-2026-8949, CVE-2026-8950, CVE-2026-8953, CVE-2026-8954, CVE-2026-8955, CVE-2026-8956, CVE-2026-8957, CVE-2026-8958, CVE-2026-8959, CVE-2026-8961, CVE-2026-8962, CVE-2026-8968, CVE-2026-8970, CVE-2026-8974, CVE-2026-8975