openSUSE セキュリティ更新：firefox / seamonkey / thunderbird （openSUSE-SU-2014:0212-1）

critical Nessus プラグイン ID 75253

Language:

概要

リモート openSUSE ホストに、セキュリティ更新がありません。

説明

Mozilla Firefox はバージョン 27 に更新されました。Mozilla SeaMonkey は 2.24 に更新され、Firefox 27 と類似した問題が修正されました。Mozilla Thunderbird は 24.3.0 に更新され、Firefox 27 と類似した問題が修正されました。

Firefox 27 リリースでは、重要なセキュリティ機能として、TLS 1.2 のサポートを提供しています。

以下のセキュリティ問題も修正します：

- MFSA 2014-01/CVE-2014-1477/CVE-2014-1478 様々なメモリ安全性の問題（rv:27.0 / rv:24.3）

- MFSA 2014-02/CVE-2014-1479（bmo#911864）クローンが XBL の範囲でコンテンツを保護しました

- MFSA 2014-03/CVE-2014-1480（bmo#916726）UI 選択のタイムアウトがダウンロードプロンプトにありません

- MFSA 2014-04/CVE-2014-1482（bmo#943803）RasterImage による破棄された画像の不適切な使用

- MFSA 2014-05/CVE-2014-1483（bmo#950427）iframe での *FromPoint による情報漏洩

- MFSA 2014-06/CVE-2014-1484（bmo#953993）Android システムログへのプロファイルパスの漏洩

- MFSA 2014-07/CVE-2014-1485（bmo#910139）Content Security Policy（CSP）でスタイルとして扱われる XSLT スタイルシート

- MFSA 2014-08/CVE-2014-1486（bmo#942164）imgRequestProxy および画像処理の use-after-free

- MFSA 2014-09/CVE-2014-1487（bmo#947592）Web Worker によるクロスオリジン情報漏洩

- MFSA 2014-10/CVE-2014-1489（bmo#959531）スクリプトにより起動可能な Firefox のデフォルト開始ページの UI コンテンツ

- MFSA 2014-11/CVE-2014-1488（bmo#950604）asm.js で Web Worker を使用する際に発生するクラッシュ

- MFSA 2014-12/CVE-2014-1490/CVE-2014-1491（bmo#934545、bmo#930874、bmo#930857）NSS チケット処理の問題

- MFSA 2014-13/CVE-2014-1481（bmo#936056）一貫性のない JavaScript の Window オブジェクトへのアクセスの処理

Mozilla NSS は 3.15.4 に更新されました：

- Firefox 27 に必要です

- 定期的な CA ルートストアの更新（1.96）

- 現代的なベストプラクティスに一致するために、SSL/TLS クライアントの Hello メッセージに提示される暗号化パッケージを整理し直しました。

- SSL/TLS の false start を改善しました。今後は、SSL_ENABLE_FALSE_START オプションを有効にするだけでなく、アプリケーションは、SSL_SetCanFalseStartCallback 関数を使用して、コールバックを登録する必要があります。

- false start が有効な場合、libssl は、PR_Recv からの暗号化されていない非認証のデータを戻すことがあります（CVE-2013-1740、bmo#919877）

- MFSA 2014-12/CVE-2014-1490/CVE-2014-1491 NSS チケット処理の問題新機能

- HTTP GET メソッドを使用して OCSP クエリを実装しました。これは新しいデフォルトであり、HTTP POST メソッドにフォールバックします。

- テストを目的とする、OCSP サーバー機能を実装しました（httpserv ユーティリティ）。

- TLS 1.2 クライアント認証で SHA-1 署名をサポートします。

- --empty-password コマンドラインオプションを certutil に追加して、-N と併用するようにしました：新しいデータベースを作成する際に空のパスワードを使用します。

- -w コマンドラインオプションを pp に追加しました：長い出力行をラップしません。

ソリューション

影響を受けるfirefox / seamonkey / thunderbird パッケージを更新してください。

参考資料

https://lists.opensuse.org/opensuse-updates/2014-02/msg00027.html

プラグインの詳細

深刻度: Critical

ID: 75253

ファイル名: openSUSE-2014-119.nasl

バージョン: 1.5

タイプ: local

エージェント: unix

ファミリー: SuSE Local Security Checks

公開日: 2014/6/13

更新日: 2021/1/19

サポートされているセンサー: Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 6.7

CVSS v2

リスクファクター: Critical

基本値: 10

現状値: 8.7

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

脆弱性情報

CPE: p-cpe:/a:novell:opensuse:mozillafirefox, p-cpe:/a:novell:opensuse:mozillafirefox-branding-upstream, p-cpe:/a:novell:opensuse:mozillafirefox-buildsymbols, p-cpe:/a:novell:opensuse:mozillafirefox-debuginfo, p-cpe:/a:novell:opensuse:mozillafirefox-debugsource, p-cpe:/a:novell:opensuse:mozillafirefox-devel, p-cpe:/a:novell:opensuse:mozillafirefox-translations-common, p-cpe:/a:novell:opensuse:mozillafirefox-translations-other, p-cpe:/a:novell:opensuse:mozillathunderbird, p-cpe:/a:novell:opensuse:mozillathunderbird-buildsymbols, p-cpe:/a:novell:opensuse:mozillathunderbird-debuginfo, p-cpe:/a:novell:opensuse:mozillathunderbird-debugsource, p-cpe:/a:novell:opensuse:mozillathunderbird-devel, p-cpe:/a:novell:opensuse:mozillathunderbird-translations-common, p-cpe:/a:novell:opensuse:mozillathunderbird-translations-other, p-cpe:/a:novell:opensuse:enigmail, p-cpe:/a:novell:opensuse:enigmail-debuginfo, p-cpe:/a:novell:opensuse:libfreebl3, p-cpe:/a:novell:opensuse:libfreebl3-32bit, p-cpe:/a:novell:opensuse:libfreebl3-debuginfo, p-cpe:/a:novell:opensuse:libfreebl3-debuginfo-32bit, p-cpe:/a:novell:opensuse:libsoftokn3, p-cpe:/a:novell:opensuse:libsoftokn3-32bit, p-cpe:/a:novell:opensuse:libsoftokn3-debuginfo, p-cpe:/a:novell:opensuse:libsoftokn3-debuginfo-32bit, p-cpe:/a:novell:opensuse:mozilla-nss, p-cpe:/a:novell:opensuse:mozilla-nss-32bit, p-cpe:/a:novell:opensuse:mozilla-nss-certs, p-cpe:/a:novell:opensuse:mozilla-nss-certs-32bit, p-cpe:/a:novell:opensuse:mozilla-nss-certs-debuginfo, p-cpe:/a:novell:opensuse:mozilla-nss-certs-debuginfo-32bit, p-cpe:/a:novell:opensuse:mozilla-nss-debuginfo, p-cpe:/a:novell:opensuse:mozilla-nss-debuginfo-32bit, p-cpe:/a:novell:opensuse:mozilla-nss-debugsource, p-cpe:/a:novell:opensuse:mozilla-nss-devel, p-cpe:/a:novell:opensuse:mozilla-nss-sysinit, p-cpe:/a:novell:opensuse:mozilla-nss-sysinit-32bit, p-cpe:/a:novell:opensuse:mozilla-nss-sysinit-debuginfo, p-cpe:/a:novell:opensuse:mozilla-nss-sysinit-debuginfo-32bit, p-cpe:/a:novell:opensuse:mozilla-nss-tools, p-cpe:/a:novell:opensuse:mozilla-nss-tools-debuginfo, p-cpe:/a:novell:opensuse:seamonkey, p-cpe:/a:novell:opensuse:seamonkey-debuginfo, p-cpe:/a:novell:opensuse:seamonkey-debugsource, p-cpe:/a:novell:opensuse:seamonkey-dom-inspector, p-cpe:/a:novell:opensuse:seamonkey-irc, p-cpe:/a:novell:opensuse:seamonkey-translations-common, p-cpe:/a:novell:opensuse:seamonkey-translations-other, p-cpe:/a:novell:opensuse:seamonkey-venkman, cpe:/o:novell:opensuse:12.3, cpe:/o:novell:opensuse:13.1

必要な KB アイテム: Host/local_checks_enabled, Host/SuSE/release, Host/SuSE/rpm-list, Host/cpu

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2014/2/6

参照情報

CVE: CVE-2013-1740, CVE-2014-1477, CVE-2014-1478, CVE-2014-1479, CVE-2014-1480, CVE-2014-1481, CVE-2014-1482, CVE-2014-1483, CVE-2014-1484, CVE-2014-1485, CVE-2014-1486, CVE-2014-1487, CVE-2014-1488, CVE-2014-1489, CVE-2014-1490, CVE-2014-1491

BID: 64944, 65316, 65317, 65320, 65321, 65322, 65323, 65324, 65326, 65328, 65329, 65330, 65331, 65332, 65334, 65335