openSUSE セキュリティ更新:MozillaFirefox(openSUSE-SU-2014:0599-1)
critical Nessus プラグイン ID 75346
Language:
概要
リモート openSUSE ホストに、セキュリティ更新がありません。説明
これは MozillaFirefox バージョン 29.0 への更新です:- MFSA 2014-34/CVE-2014-1518/CVE-2014-1519 さまざまなメモリ安全性の問題
- MFSA 2014-36/CVE-2014-1522(bmo#995289)Web Audio のメモリ破損の問題
- MFSA 2014-37/CVE-2014-1523(bmo#969226)JPG 画像をデコード中の領域外の読み取り
- MFSA 2014-38/CVE-2014-1524(bmo#989183)XBL 以外のオブジェクトを XBL として使用する際のバッファオーバーフロー
- MFSA 2014-39/CVE-2014-1525(bmo#989210)HTML 動画に対する Text Track Manager の use-after-free
- MFSA 2014-41/CVE-2014-1528(bmo#963962)Cairo の領域外の書き込み
- MFSA 2014-42/CVE-2014-1529(bmo#987003)Web 通知 API からの権限昇格
- MFSA 2014-43/CVE-2014-1530(bmo#895557)履歴ナビゲーションを使用したクロスサイトスクリプティング(XSS)
- MFSA 2014-44/CVE-2014-1531(bmo#987140)画像のサイズ変更中の imgLoader の use-after-free
- MFSA 2014-45/CVE-2014-1492(bmo#903885)ワイルドカード証明書に一致する正しくない IDNA ドメイン名(NSS 3.16 により修正済み)
- MFSA 2014-46/CVE-2014-1532(bmo#966006)nsHostResolver の use-after-free
- MFSA 2014-47/CVE-2014-1526(bmo#988106)デバッガーは JavaScript で XrayWrappers をバイパスできます
- パッチをリベースしました
- 使われなくなったパッチを削除しました
- firefox-browser-css.patch
- mozilla-aarch64-599882cfb998.diff
- mozilla-aarch64-bmo-963028.patch
- mozilla-aarch64-bmo-963029.patch
- mozilla-aarch64-bmo-963030.patch
- mozilla-aarch64-bmo-963031.patch
- NSS 3.16 が必要です
- ビルド後のチェックを修正するために mozilla-icu-strncat.patch を追加しました
- mozilla-aarch64-599882cfb998.patch、mozilla-aarch64-bmo-810631.patch、mozilla-aarch64-bmo-962488.patch、mozilla-aarch64-bmo-963030.patch、mozilla-aarch64-bmo-963027.patch、mozilla-aarch64-bmo-963028.patch、mozilla-aarch64-bmo-963029.patch、mozilla-aarch64-bmo-963023.patch、mozilla-aarch64-bmo-963024.patch、mozilla-aarch64-bmo-963031.patch を追加:AArch64 ポーティング
- bmo#973977のパッチを追加
- mozilla-ppc64-xpcom.patch
- mozilla-ppc64le-xpcom.patch パッチをリフレッシュ
- mozilla-ppc64le-xpcom.patch を Mozilla > 24.0 ビルドシステムへ適合させる
これも、mozilla-nss バージョン 3.16 への更新です:
- Firefox 29 に必要です
- bmo#903885 -(CVE-2014-1492)ワイルドカード証明書では、国際化ドメイン名の U ラベル内にワイルドカード文字を埋め込むべきではありません。RFC 6125 のセクション 7.2.でラストバレットを参照してください。
- Linux x32 ABI をサポート。Linux x32 ターゲットに対して構築するには、NSS の構築時に環境変数 USE_X32=1 を設定します。新しい機能:
- NSS_CMSSignerInfo_Verify 新しいマクロ
- TLS_RSA_WITH_RC4_128_SHA、TLS_RSA_WITH_3DES_EDE_CBC_SHA などの、SSL 3.0 で最初に定義された暗号化パッケージが、TLS_ prefix という、TLS の公式 IANA 名で呼ぶことができるようになりました。以前、これらのパッケージは、SSL_ prefix という、SSL 3.0 の名前で呼ぶ必要がありました。注目に値する変更:
- ECC はデファルトで有効化されます。NSS を構築する際に、環境変数 NSS_ENABLE_ECC=1 を設定する必要がなくなりました。ECC を無効化するには、NSS を構築する際に、環境変数 NSS_DISABLE_ECC=1 を設定します。
- 名前制限を評価する際に、libpkix に DNS 名として CA の共通名を含めてはいけません。
- AESKeyWrap_Decrypt は、無効なキーに対して SECSuccess を返してはいけません。
- sec_pkcs12_new_asafe のメモリ破損を修正。
- 環境変数 NSS_SDB_USE_CACHE を設定した場合、ランタイムテスト sdb_measureAccess をスキップします。
- ビルトインルートモジュールがバージョン 1.97 へ更新され、いくつかの証明書が追加、削除および信頼解除されました。
- atob ユーティリティが強化され、base64 形式でないテキストの行を自動的に無視するようになりました。
- certutil ユーティリティが強化され、既存のバージョン 3 のサポートに加えて、バージョン 1 およびバージョン 2 の証明書作成をサポートするようになりました。
ソリューション
影響を受けた MozillaFirefox パッケージを更新してください。参考資料
https://bugzilla.novell.com/show_bug.cgi?id=875378
https://lists.opensuse.org/opensuse-updates/2014-05/msg00010.html
プラグインの詳細
深刻度: Critical
ID: 75346
ファイル名: openSUSE-2014-336.nasl
バージョン: 1.4
タイプ: local
エージェント: unix
ファミリー: SuSE Local Security Checks
公開日: 2014/6/13
更新日: 2021/1/19
サポートされているセンサー: Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 6.7
CVSS v2
リスクファクター: Critical
基本値: 10
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C
脆弱性情報
CPE: p-cpe:/a:novell:opensuse:mozillafirefox, p-cpe:/a:novell:opensuse:mozillafirefox-branding-upstream, p-cpe:/a:novell:opensuse:mozillafirefox-buildsymbols, p-cpe:/a:novell:opensuse:mozillafirefox-debuginfo, p-cpe:/a:novell:opensuse:mozillafirefox-debugsource, p-cpe:/a:novell:opensuse:mozillafirefox-devel, p-cpe:/a:novell:opensuse:mozillafirefox-translations-common, p-cpe:/a:novell:opensuse:mozillafirefox-translations-other, p-cpe:/a:novell:opensuse:libfreebl3, p-cpe:/a:novell:opensuse:libfreebl3-32bit, p-cpe:/a:novell:opensuse:libfreebl3-debuginfo, p-cpe:/a:novell:opensuse:libfreebl3-debuginfo-32bit, p-cpe:/a:novell:opensuse:libsoftokn3, p-cpe:/a:novell:opensuse:libsoftokn3-32bit, p-cpe:/a:novell:opensuse:libsoftokn3-debuginfo, p-cpe:/a:novell:opensuse:libsoftokn3-debuginfo-32bit, p-cpe:/a:novell:opensuse:mozilla-nss, p-cpe:/a:novell:opensuse:mozilla-nss-32bit, p-cpe:/a:novell:opensuse:mozilla-nss-certs, p-cpe:/a:novell:opensuse:mozilla-nss-certs-32bit, p-cpe:/a:novell:opensuse:mozilla-nss-certs-debuginfo, p-cpe:/a:novell:opensuse:mozilla-nss-certs-debuginfo-32bit, p-cpe:/a:novell:opensuse:mozilla-nss-debuginfo, p-cpe:/a:novell:opensuse:mozilla-nss-debuginfo-32bit, p-cpe:/a:novell:opensuse:mozilla-nss-debugsource, p-cpe:/a:novell:opensuse:mozilla-nss-devel, p-cpe:/a:novell:opensuse:mozilla-nss-sysinit, p-cpe:/a:novell:opensuse:mozilla-nss-sysinit-32bit, p-cpe:/a:novell:opensuse:mozilla-nss-sysinit-debuginfo, p-cpe:/a:novell:opensuse:mozilla-nss-sysinit-debuginfo-32bit, p-cpe:/a:novell:opensuse:mozilla-nss-tools, p-cpe:/a:novell:opensuse:mozilla-nss-tools-debuginfo, cpe:/o:novell:opensuse:12.3, cpe:/o:novell:opensuse:13.1
必要な KB アイテム: Host/local_checks_enabled, Host/SuSE/release, Host/SuSE/rpm-list, Host/cpu
パッチ公開日: 2014/5/1
参照情報
CVE: CVE-2014-1492, CVE-2014-1518, CVE-2014-1519, CVE-2014-1522, CVE-2014-1523, CVE-2014-1524, CVE-2014-1525, CVE-2014-1526, CVE-2014-1528, CVE-2014-1529, CVE-2014-1530, CVE-2014-1531, CVE-2014-1532