openSUSE セキュリティ更新：Mozilla Firefox など（openSUSE-SU-2013:0630-1）

critical Nessus プラグイン ID 74965

Language:

概要

リモート openSUSE ホストに、セキュリティ更新がありません。

説明

Mozilla パッケージは、セキュリティおよびバグ修正の更新を受け取りました：

Mozilla Firefox はバージョン 20.0 に更新されました。Mozilla Thunderbird はバージョン 17.0.5 に更新されました。Mozilla SeaMonkey はバージョン 17.0.5 に更新されました。Mozilla XULRunner がバージョン 17.0.5 に更新されました。mozilla-nss がバージョン 3.14.3 に更新されました。mozilla-nspr がバージョン 4.9.6 に更新されました。

mozilla-nspr がバージョン 4.9.6 に更新されました：

- aarch64 のサポート

- PL_SizeOfArenaPoolExcludingPool 関数を追加しました（bmo#807883）

- x86 用のアンドロイドの api バージョンを自動検出します（bmo#782214）

- デバッグ情報なしでノンゼロスピンカウントつきで Windows CRITICAL_SECTION を初期化します（bmo#812085）バージョン 4.9.5 への以前の更新

- bmo#634793：NSPR の正確な幅の整数タイプである PRInt{N} と PRUint{N} のタイプを定義し、<stdint.h> の正確な幅である整数タイプである int{N}_t と uint{N}_t と一致させます。

- bmo#782815：setsockopt() で「int *」をタイプ「unsigned int *」のパラメーターに渡します。

- bmo#822932：NSPR に対するポート bmo#802527（x86 用の NDK r8b サポート）。

- bmo#824742：NSPR はアンドロイドで librt を必要としないはずです。

- bmo#831793：PR_UnloadLibrary の lib->refCount におけるデータ競合。

mozilla-nss はバージョン 3.14.3 に更新されました：

- 期限の切れた証明書を使ったテストを無効にします

- mozila ツリーからのパッチを使用して SEC_PKCS7VerifyDetachedSignatureAtTime を追加し、Firefox 21 の要件を満たします

- このリリースでは新しい重要な機能は導入されていません。これは、CVE-2013-1620 に対処するパッチリリースです（bmo#822365）

-「certutil -a」がリクエストされているように ASCII 出力を適切に生成していませんでした。（bmo#840714）

- NSS 3.14.2 は、sqlite の古いバージョンによるコンパイルを破壊します。これには、SQLITE_FCNTL_TEMPFILENAME ファイルコントロールがありませんでした。現在は、NSS 3.14.3 が sqlite の古いバージョンを使用している場合でもコンパイルを適切に行うようになっています（bmo#837799）- system-sqlite.patch を削除します

- arm aarch64 サポートを追加します

- system-sqlite.patch を追加しました（bmo#837799）

- #define のためだけに最新の SQLite に依存しません

- システムの SQLite 使用を再度有効にします

- 3.14.2 への更新

- Firefox >= 20 に必須

- 廃止になった nssckbi 更新パッチを削除しました

- MFSA 2013-40/CVE-2013-0791（bmo#629816）CERT_DecodeCertPackage の領域外配列読み取り

- openSUSE ディストリビューションで提供されていない 3.7.15 に依存しているため、システムの SQLite 使用を無効にします

- nss-sqlitename.patch を追加して、name clash を回避します

MozillaFirefox の問題：

- Firefox 20.0 への更新（bnc#813026）

- NSPR 4.9.5 と NSS 3.14.3 を必要とします

- MFSA 2013-30/CVE-2013-0788/CVE-2013-0789 さまざまなメモリ安全性の問題

- MFSA 2013-31/CVE-2013-0800（bmo#825721）Cairo ライブラリでの領域外の書き込み

- MFSA 2013-35/CVE-2013-0796（bmo#827106）WebGL は、Linux 上の Mesa グラフィックスドライバーでクラッシュします

- MFSA 2013-36/CVE-2013-0795（bmo#825697）SOW 保護のバイパスにより、保護されたノードの複製が可能になります

- MFSA 2013-37/CVE-2013-0794（bmo#626775）タブモーダルダイアログ生成元漏洩のバイパス

- MFSA 2013-38/CVE-2013-0793（bmo#803870）時間つき履歴ナビゲーションを使用したクロスサイトスクリプティング（XSS）

- MFSA 2013-39/CVE-2013-0792（bmo#722831）グレースケール PNG 画像をレンダリングする際のメモリ破損

- 12.3 から始まる GStreamer 1.0 を使用（mozilla-gstreamer-1.patch）

- armv7hl の修正を構築：

- armv7hl に充分なメモリがないため、デバッグビルドを無効にします

- ノンコンパイリングであるため、armv7hl の webrtc を無効にします

MozillaThunderbird の変更：

- Thunderbird 17.0.5 へ更新してください（bnc#813026）

- NSPR 4.9.5 と NSS 3.14.3 を必要とします

- MFSA 2013-30/CVE-2013-0788/CVE-2013-0789 さまざまなメモリ安全性の問題

- MFSA 2013-31/CVE-2013-0800（bmo#825721）Cairo ライブラリでの領域外の書き込み

- MFSA 2013-35/CVE-2013-0796（bmo#827106）WebGL は、Linux 上の Mesa グラフィックスドライバーでクラッシュします

- MFSA 2013-36/CVE-2013-0795（bmo#825697）SOW 保護のバイパスにより、保護されたノードの複製が可能になります

- MFSA 2013-38/CVE-2013-0793（bmo#803870）時間つき履歴ナビゲーションを使用したクロスサイトスクリプティング（XSS）

seamonkey の変更：

- SeaMonkey 2.17 への更新（bnc#813026）

- NSPR 4.9.5 と NSS 3.14.3 を必要とします

- MFSA 2013-30/CVE-2013-0788/CVE-2013-0789 さまざまなメモリ安全性の問題

- MFSA 2013-31/CVE-2013-0800（bmo#825721）Cairo ライブラリでの領域外の書き込み

- MFSA 2013-35/CVE-2013-0796（bmo#827106）WebGL は、Linux 上の Mesa グラフィックスドライバーでクラッシュします

- MFSA 2013-36/CVE-2013-0795（bmo#825697）SOW 保護のバイパスにより、保護されたノードの複製が可能になります

- MFSA 2013-37/CVE-2013-0794（bmo#626775）タブモーダルダイアログ生成元漏洩のバイパス

- MFSA 2013-38/CVE-2013-0793（bmo#803870）時間つき履歴ナビゲーションを使用したクロスサイトスクリプティング（XSS）

- MFSA 2013-39/CVE-2013-0792（bmo#722831）グレースケール PNG 画像をレンダリングする際のメモリ破損

- 12.3 から始まる GStreamer 1.0 を使用（mozilla-gstreamer-1.patch）

XULRunner の変更：

- 17.0.5esr へ更新します（bnc#813026）

- NSPR 4.9.5 と NSS 3.14.3 を必要とします

- MFSA 2013-30/CVE-2013-0788 さまざまなメモリ安全性の問題

- MFSA 2013-31/CVE-2013-0800（bmo#825721）Cairo ライブラリでの領域外の書き込み

- MFSA 2013-35/CVE-2013-0796（bmo#827106）WebGL は、Linux 上の Mesa グラフィックスドライバーでクラッシュします

- MFSA 2013-36/CVE-2013-0795（bmo#825697）SOW 保護のバイパスにより、保護されたノードの複製が可能になります

- MFSA 2013-37/CVE-2013-0794（bmo#626775）タブモーダルダイアログ生成元漏洩のバイパス

- MFSA 2013-38/CVE-2013-0793（bmo#803870）時間つき履歴ナビゲーションを使用したクロスサイトスクリプティング（XSS）

ソリューション

影響を受ける Mozilla Firefox と他のパッケージを更新してください。

参考資料

https://bugzilla.novell.com/show_bug.cgi?id=813026

https://lists.opensuse.org/opensuse-updates/2013-04/msg00047.html

プラグインの詳細

深刻度: Critical

ID: 74965

ファイル名: openSUSE-2013-309.nasl

バージョン: 1.8

タイプ: local

エージェント: unix

ファミリー: SuSE Local Security Checks

公開日: 2014/6/13

更新日: 2021/1/19

サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 6.7

CVSS v2

リスクファクター: Critical

基本値: 10

現状値: 7.4

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

脆弱性情報

CPE: p-cpe:/a:novell:opensuse:mozillafirefox, p-cpe:/a:novell:opensuse:mozillafirefox-branding-upstream, p-cpe:/a:novell:opensuse:mozillafirefox-buildsymbols, p-cpe:/a:novell:opensuse:mozillafirefox-debuginfo, p-cpe:/a:novell:opensuse:mozillafirefox-debugsource, p-cpe:/a:novell:opensuse:mozillafirefox-devel, p-cpe:/a:novell:opensuse:mozillafirefox-translations-common, p-cpe:/a:novell:opensuse:mozillafirefox-translations-other, p-cpe:/a:novell:opensuse:mozillathunderbird, p-cpe:/a:novell:opensuse:mozillathunderbird-buildsymbols, p-cpe:/a:novell:opensuse:mozillathunderbird-debuginfo, p-cpe:/a:novell:opensuse:mozillathunderbird-debugsource, p-cpe:/a:novell:opensuse:mozillathunderbird-devel, p-cpe:/a:novell:opensuse:mozillathunderbird-devel-debuginfo, p-cpe:/a:novell:opensuse:mozillathunderbird-translations-common, p-cpe:/a:novell:opensuse:mozillathunderbird-translations-other, p-cpe:/a:novell:opensuse:enigmail, p-cpe:/a:novell:opensuse:enigmail-debuginfo, p-cpe:/a:novell:opensuse:libfreebl3, p-cpe:/a:novell:opensuse:libfreebl3-32bit, p-cpe:/a:novell:opensuse:libfreebl3-debuginfo, p-cpe:/a:novell:opensuse:libfreebl3-debuginfo-32bit, p-cpe:/a:novell:opensuse:libsoftokn3, p-cpe:/a:novell:opensuse:libsoftokn3-32bit, p-cpe:/a:novell:opensuse:libsoftokn3-debuginfo, p-cpe:/a:novell:opensuse:libsoftokn3-debuginfo-32bit, p-cpe:/a:novell:opensuse:mozilla-js, p-cpe:/a:novell:opensuse:mozilla-js-32bit, p-cpe:/a:novell:opensuse:mozilla-js-debuginfo, p-cpe:/a:novell:opensuse:mozilla-js-debuginfo-32bit, p-cpe:/a:novell:opensuse:mozilla-nspr, p-cpe:/a:novell:opensuse:mozilla-nspr-32bit, p-cpe:/a:novell:opensuse:mozilla-nspr-debuginfo, p-cpe:/a:novell:opensuse:mozilla-nspr-debuginfo-32bit, p-cpe:/a:novell:opensuse:mozilla-nspr-debugsource, p-cpe:/a:novell:opensuse:mozilla-nspr-devel, p-cpe:/a:novell:opensuse:mozilla-nss, p-cpe:/a:novell:opensuse:mozilla-nss-32bit, p-cpe:/a:novell:opensuse:mozilla-nss-certs, p-cpe:/a:novell:opensuse:mozilla-nss-certs-32bit, p-cpe:/a:novell:opensuse:mozilla-nss-certs-debuginfo, p-cpe:/a:novell:opensuse:mozilla-nss-certs-debuginfo-32bit, p-cpe:/a:novell:opensuse:mozilla-nss-debuginfo, p-cpe:/a:novell:opensuse:mozilla-nss-debuginfo-32bit, p-cpe:/a:novell:opensuse:mozilla-nss-debugsource, p-cpe:/a:novell:opensuse:mozilla-nss-devel, p-cpe:/a:novell:opensuse:mozilla-nss-sysinit, p-cpe:/a:novell:opensuse:mozilla-nss-sysinit-32bit, p-cpe:/a:novell:opensuse:mozilla-nss-sysinit-debuginfo, p-cpe:/a:novell:opensuse:mozilla-nss-sysinit-debuginfo-32bit, p-cpe:/a:novell:opensuse:mozilla-nss-tools, p-cpe:/a:novell:opensuse:mozilla-nss-tools-debuginfo, p-cpe:/a:novell:opensuse:seamonkey, p-cpe:/a:novell:opensuse:seamonkey-debuginfo, p-cpe:/a:novell:opensuse:seamonkey-debugsource, p-cpe:/a:novell:opensuse:seamonkey-dom-inspector, p-cpe:/a:novell:opensuse:seamonkey-irc, p-cpe:/a:novell:opensuse:seamonkey-translations-common, p-cpe:/a:novell:opensuse:seamonkey-translations-other, p-cpe:/a:novell:opensuse:seamonkey-venkman, p-cpe:/a:novell:opensuse:xulrunner, p-cpe:/a:novell:opensuse:xulrunner-32bit, p-cpe:/a:novell:opensuse:xulrunner-buildsymbols, p-cpe:/a:novell:opensuse:xulrunner-debuginfo, p-cpe:/a:novell:opensuse:xulrunner-debuginfo-32bit, p-cpe:/a:novell:opensuse:xulrunner-debugsource, p-cpe:/a:novell:opensuse:xulrunner-devel, p-cpe:/a:novell:opensuse:xulrunner-devel-debuginfo, cpe:/o:novell:opensuse:12.1, cpe:/o:novell:opensuse:12.2, cpe:/o:novell:opensuse:12.3

必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2013/4/4

脆弱性公開日: 2013/2/8

参照情報

CVE: CVE-2013-0788, CVE-2013-0789, CVE-2013-0791, CVE-2013-0792, CVE-2013-0793, CVE-2013-0794, CVE-2013-0795, CVE-2013-0796, CVE-2013-0800, CVE-2013-1620