openSUSE セキュリティ更新:firefox / seamonkey / thunderbird (openSUSE-SU-2014:0212-1)

critical Nessus プラグイン ID 75253

概要

リモート openSUSE ホストに、セキュリティ更新がありません。

説明

Mozilla Firefox はバージョン 27 に更新されました。Mozilla SeaMonkey は 2.24 に更新され、Firefox 27 と類似した問題が修正されました。Mozilla Thunderbird は 24.3.0 に更新され、Firefox 27 と類似した問題が修正されました。

Firefox 27 リリースでは、重要なセキュリティ機能として、TLS 1.2 のサポートを提供しています。

以下のセキュリティ問題も修正します:

- MFSA 2014-01/CVE-2014-1477/CVE-2014-1478 様々なメモリ安全性の問題(rv:27.0 / rv:24.3)

- MFSA 2014-02/CVE-2014-1479(bmo#911864)クローンが XBL の範囲でコンテンツを保護しました

- MFSA 2014-03/CVE-2014-1480(bmo#916726)UI 選択のタイムアウトがダウンロードプロンプトにありません

- MFSA 2014-04/CVE-2014-1482(bmo#943803)RasterImage による破棄された画像の不適切な使用

- MFSA 2014-05/CVE-2014-1483(bmo#950427)iframe での *FromPoint による情報漏洩

- MFSA 2014-06/CVE-2014-1484(bmo#953993)Android システムログへのプロファイルパスの漏洩

- MFSA 2014-07/CVE-2014-1485(bmo#910139)Content Security Policy(CSP)でスタイルとして扱われる XSLT スタイルシート

- MFSA 2014-08/CVE-2014-1486(bmo#942164)imgRequestProxy および画像処理の use-after-free

- MFSA 2014-09/CVE-2014-1487(bmo#947592)Web Worker によるクロスオリジン情報漏洩

- MFSA 2014-10/CVE-2014-1489(bmo#959531)スクリプトにより起動可能な Firefox のデフォルト開始ページの UI コンテンツ

- MFSA 2014-11/CVE-2014-1488(bmo#950604)asm.js で Web Worker を使用する際に発生するクラッシュ

- MFSA 2014-12/CVE-2014-1490/CVE-2014-1491(bmo#934545、bmo#930874、bmo#930857)NSS チケット処理の問題

- MFSA 2014-13/CVE-2014-1481(bmo#936056)一貫性のない JavaScript の Window オブジェクトへのアクセスの処理

Mozilla NSS は 3.15.4 に更新されました:

- Firefox 27 に必要です

- 定期的な CA ルートストアの更新(1.96)

- 現代的なベストプラクティスに一致するために、SSL/TLS クライアントの Hello メッセージに提示される暗号化パッケージを整理し直しました。

- SSL/TLS の false start を改善しました。今後は、SSL_ENABLE_FALSE_START オプションを有効にするだけでなく、アプリケーションは、SSL_SetCanFalseStartCallback 関数を使用して、コールバックを登録する必要があります。

- false start が有効な場合、libssl は、PR_Recv からの暗号化されていない非認証のデータを戻すことがあります(CVE-2013-1740、bmo#919877)

- MFSA 2014-12/CVE-2014-1490/CVE-2014-1491 NSS チケット処理の問題 新機能

- HTTP GET メソッドを使用して OCSP クエリを実装しました。これは新しいデフォルトであり、HTTP POST メソッドにフォールバックします。

- テストを目的とする、OCSP サーバー機能を実装しました(httpserv ユーティリティ)。

- TLS 1.2 クライアント認証で SHA-1 署名をサポートします。

- --empty-password コマンドラインオプションを certutil に追加して、-N と併用するようにしました:新しいデータベースを作成する際に空のパスワードを使用します。

- -w コマンドラインオプションを pp に追加しました:長い出力行をラップしません。

ソリューション

影響を受けるfirefox / seamonkey / thunderbird パッケージを更新してください。

参考資料

https://lists.opensuse.org/opensuse-updates/2014-02/msg00027.html

プラグインの詳細

深刻度: Critical

ID: 75253

ファイル名: openSUSE-2014-119.nasl

バージョン: 1.5

タイプ: local

エージェント: unix

公開日: 2014/6/13

更新日: 2021/1/19

サポートされているセンサー: Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 6.7

CVSS v2

リスクファクター: Critical

Base Score: 10

Temporal Score: 8.7

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

脆弱性情報

CPE: p-cpe:/a:novell:opensuse:mozillafirefox, p-cpe:/a:novell:opensuse:mozillafirefox-branding-upstream, p-cpe:/a:novell:opensuse:mozillafirefox-buildsymbols, p-cpe:/a:novell:opensuse:mozillafirefox-debuginfo, p-cpe:/a:novell:opensuse:mozillafirefox-debugsource, p-cpe:/a:novell:opensuse:mozillafirefox-devel, p-cpe:/a:novell:opensuse:mozillafirefox-translations-common, p-cpe:/a:novell:opensuse:mozillafirefox-translations-other, p-cpe:/a:novell:opensuse:mozillathunderbird, p-cpe:/a:novell:opensuse:mozillathunderbird-buildsymbols, p-cpe:/a:novell:opensuse:mozillathunderbird-debuginfo, p-cpe:/a:novell:opensuse:mozillathunderbird-debugsource, p-cpe:/a:novell:opensuse:mozillathunderbird-devel, p-cpe:/a:novell:opensuse:mozillathunderbird-translations-common, p-cpe:/a:novell:opensuse:mozillathunderbird-translations-other, p-cpe:/a:novell:opensuse:enigmail, p-cpe:/a:novell:opensuse:enigmail-debuginfo, p-cpe:/a:novell:opensuse:libfreebl3, p-cpe:/a:novell:opensuse:libfreebl3-32bit, p-cpe:/a:novell:opensuse:libfreebl3-debuginfo, p-cpe:/a:novell:opensuse:libfreebl3-debuginfo-32bit, p-cpe:/a:novell:opensuse:libsoftokn3, p-cpe:/a:novell:opensuse:libsoftokn3-32bit, p-cpe:/a:novell:opensuse:libsoftokn3-debuginfo, p-cpe:/a:novell:opensuse:libsoftokn3-debuginfo-32bit, p-cpe:/a:novell:opensuse:mozilla-nss, p-cpe:/a:novell:opensuse:mozilla-nss-32bit, p-cpe:/a:novell:opensuse:mozilla-nss-certs, p-cpe:/a:novell:opensuse:mozilla-nss-certs-32bit, p-cpe:/a:novell:opensuse:mozilla-nss-certs-debuginfo, p-cpe:/a:novell:opensuse:mozilla-nss-certs-debuginfo-32bit, p-cpe:/a:novell:opensuse:mozilla-nss-debuginfo, p-cpe:/a:novell:opensuse:mozilla-nss-debuginfo-32bit, p-cpe:/a:novell:opensuse:mozilla-nss-debugsource, p-cpe:/a:novell:opensuse:mozilla-nss-devel, p-cpe:/a:novell:opensuse:mozilla-nss-sysinit, p-cpe:/a:novell:opensuse:mozilla-nss-sysinit-32bit, p-cpe:/a:novell:opensuse:mozilla-nss-sysinit-debuginfo, p-cpe:/a:novell:opensuse:mozilla-nss-sysinit-debuginfo-32bit, p-cpe:/a:novell:opensuse:mozilla-nss-tools, p-cpe:/a:novell:opensuse:mozilla-nss-tools-debuginfo, p-cpe:/a:novell:opensuse:seamonkey, p-cpe:/a:novell:opensuse:seamonkey-debuginfo, p-cpe:/a:novell:opensuse:seamonkey-debugsource, p-cpe:/a:novell:opensuse:seamonkey-dom-inspector, p-cpe:/a:novell:opensuse:seamonkey-irc, p-cpe:/a:novell:opensuse:seamonkey-translations-common, p-cpe:/a:novell:opensuse:seamonkey-translations-other, p-cpe:/a:novell:opensuse:seamonkey-venkman, cpe:/o:novell:opensuse:12.3, cpe:/o:novell:opensuse:13.1

必要な KB アイテム: Host/local_checks_enabled, Host/SuSE/release, Host/SuSE/rpm-list, Host/cpu

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2014/2/6

参照情報

CVE: CVE-2013-1740, CVE-2014-1477, CVE-2014-1478, CVE-2014-1479, CVE-2014-1480, CVE-2014-1481, CVE-2014-1482, CVE-2014-1483, CVE-2014-1484, CVE-2014-1485, CVE-2014-1486, CVE-2014-1487, CVE-2014-1488, CVE-2014-1489, CVE-2014-1490, CVE-2014-1491

BID: 64944, 65316, 65317, 65320, 65321, 65322, 65323, 65324, 65326, 65328, 65329, 65330, 65331, 65332, 65334, 65335