openSUSE セキュリティ更新:MozillaFirefox(openSUSE-2014-476)
critical Nessus プラグイン ID 76959
Language:
概要
リモート openSUSE ホストに、セキュリティ更新がありません。説明
Mozilla Firefox が、多様なセキュリティ問題およびバグを修正するバージョン 31 に更新されています。- MFSA 2014-56/CVE-2014-1547/CVE-2014-1548 さまざまなメモリ安全性の問題
- MFSA 2014-57/CVE-2014-1549(bmo#1020205)プレイバック用の Web オーディオバッファリング中のバッファオーバーフロー
- MFSA 2014-58/CVE-2014-1550(bmo#1020411)不適切なコントロールメッセージオーダーによる Web オーディオの use-after-free
- MFSA 2014-60/CVE-2014-1561(bmo#1000514、bmo#910375)ツールバーダイアログカスタマイゼーションイベントのなりすまし
- MFSA 2014-61/CVE-2014-1555(bmo#1023121) FireOnStateChange イベントの use-after-free
- MFSA 2014-62/CVE-2014-1556(bmo#1028891)Cesium JavaScript ライブラリで悪用できるWebGL クラッシュ
- MFSA 2014-63/CVE-2014-1544(bmo#963150)信頼できるキャッシュで証明書を操作する際の use-after-free (NSS 3.16.2 要件で解決済み)
- MFSA 2014-64/CVE-2014-1557(bmo#913805)高画質イメージをスケーリングする際に Skia ライブラリでクラッシュ
- MFSA 2014-65/CVE-2014-1558/CVE-2014-1559/CVE-2014-1560(bmo#1015973、bmo#1026022、bmo#997795)非標準文字エンコーディングにより証明書解析が破損
- MFSA 2014-66/CVE-2014-1552(bmo#985135)リダイレクト経由の IFRAME サンドボックス同一生成元アクセス
Mozilla-nss が 3.16.3 に更新されました:新機能:
- CERT_GetGeneralNameTypeFromString(この関数はすでに NSS 3.16.2 に追加されています。ただし、パブリックヘッダーファイルでは宣言されていません。)注目に値する変更:
- 次の 1024 ビットの CA 証明書は削除されました
- Entrust.net Secure Server Certification Authority
- GTE CyberTrust Global Root
- ValiCert Class 1 Policy Validation Authority
- ValiCert Class 2 Policy Validation Authority
- ValiCert Class 3 Policy Validation Authority
- 加えて、CA からの要求により次の CA 証明書は削除されました:
- TDC Internet Root CA
- 次の CA 証明書が追加されました:
- Certification Authority of WoSign
- CA 沃通根证书
- DigiCert Assured ID Root G2
- DigiCert Assured ID Root G3
- DigiCert Global Root G2
- DigiCert Global Root G3
- DigiCert Trusted Root G4
- QuoVadis Root CA 1 G3
- QuoVadis Root CA 2 G3
- QuoVadis Root CA 3 G3
- Trust Bits は次の CA 証明書に変更されました
- Class 3 Public Primary Certification Authority
- Class 3 Public Primary Certification Authority
- Class 2 Public Primary Certification Authority - G2
- VeriSign Class 2 Public Primary Certification Authority
- G3
- AC Raíz Certicámara S.A.
- NetLock Uzleti(Class B)Tanusitvanykiado
- NetLock Expressz(Class C)3.16.2 新機能の Tanusitvanykiado の変更点:
- DTLS 1.2 がサポートされています。
- TLS アプリケーションレイヤプロトコルネゴシエーション(ALPN)拡張も、サーバー側でサポートされています。
- RSA-OEAP がサポートされています。CKM_RSA_PKCS_OAEP メカニズムで、新しい PK11_PrivDecrypt および PK11_PubEncrypt 関数を使用します。
- Intel の Shay Gueron 氏および Vlad Krasnov 氏による貢献した 32 ビットおよび 64 ビットの Windows 用の新しい Intel AES アセンブリコード。注目に値する変更:
- btoa コマンドには、新しいコマンドラインオプションの「-w」サフィックスがあります。これにより、与えられたサフィックスのある BEGIN/END ラインで出力がラップされます
- certutil コマンドは追加のサブジェクト alt 名前拡張の種類をサポートします。
- certutil コマンドは、ファイルからバイナリデータのロードで一般的な証明書拡張をサポートしています。これは、外部ツールを使用して準備さているか、その他の既存の証明書から抽出され、ファイルにダンプされています。
- certutil コマンドは、3 つの新しい証明書用途の指定子をサポートしています。
- pp コマンドは、UTF-8 (-u) の出力をサポートしています。
- Linux では、NSS は使用されない関数が停止できるように、-ffunction-sections、
-fdata-sections コンパイラーフラグおよび --gc-sections linker フラグで構築されています。
3.16.1 新しい機能性における変更:
- 楕円曲線暗号(ECC)操作に使用されるモジュールを選択するために、「ECC」フラグを modutil に追加しています。
新しいマクロ
- PUBLIC_MECH_ECC_FLAG は楕円曲線暗号(ECC)オペレーション用のパブリックメカニズムフラグです
- SECMOD_ECC_FLAG は楕円曲線暗号(ECC)オペレーション用の NSS 内部メカニズムフラグです。このマクロには PUBLIC_MECH_ECC_FLAG と同じ数値があります。
注目に値する変更:
- フランス政府 root CA ANSSI(DCISS)において強制された名前の制限。
ソリューション
影響を受けた MozillaFirefox パッケージを更新してください。参考資料
プラグインの詳細
深刻度: Critical
ID: 76959
ファイル名: openSUSE-2014-476.nasl
バージョン: 1.5
タイプ: local
エージェント: unix
ファミリー: SuSE Local Security Checks
公開日: 2014/8/1
更新日: 2021/1/19
サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 5.9
CVSS v2
リスクファクター: Critical
基本値: 10
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C
脆弱性情報
CPE: p-cpe:/a:novell:opensuse:mozillafirefox, p-cpe:/a:novell:opensuse:mozillafirefox-branding-upstream, p-cpe:/a:novell:opensuse:mozillafirefox-buildsymbols, p-cpe:/a:novell:opensuse:mozillafirefox-debuginfo, p-cpe:/a:novell:opensuse:mozillafirefox-debugsource, p-cpe:/a:novell:opensuse:mozillafirefox-devel, p-cpe:/a:novell:opensuse:mozillafirefox-translations-common, p-cpe:/a:novell:opensuse:mozillafirefox-translations-other, p-cpe:/a:novell:opensuse:libfreebl3, p-cpe:/a:novell:opensuse:libfreebl3-32bit, p-cpe:/a:novell:opensuse:libfreebl3-debuginfo, p-cpe:/a:novell:opensuse:libfreebl3-debuginfo-32bit, p-cpe:/a:novell:opensuse:libsoftokn3, p-cpe:/a:novell:opensuse:libsoftokn3-32bit, p-cpe:/a:novell:opensuse:libsoftokn3-debuginfo, p-cpe:/a:novell:opensuse:libsoftokn3-debuginfo-32bit, p-cpe:/a:novell:opensuse:mozilla-nss, p-cpe:/a:novell:opensuse:mozilla-nss-32bit, p-cpe:/a:novell:opensuse:mozilla-nss-certs, p-cpe:/a:novell:opensuse:mozilla-nss-certs-32bit, p-cpe:/a:novell:opensuse:mozilla-nss-certs-debuginfo, p-cpe:/a:novell:opensuse:mozilla-nss-certs-debuginfo-32bit, p-cpe:/a:novell:opensuse:mozilla-nss-debuginfo, p-cpe:/a:novell:opensuse:mozilla-nss-debuginfo-32bit, p-cpe:/a:novell:opensuse:mozilla-nss-debugsource, p-cpe:/a:novell:opensuse:mozilla-nss-devel, p-cpe:/a:novell:opensuse:mozilla-nss-sysinit, p-cpe:/a:novell:opensuse:mozilla-nss-sysinit-32bit, p-cpe:/a:novell:opensuse:mozilla-nss-sysinit-debuginfo, p-cpe:/a:novell:opensuse:mozilla-nss-sysinit-debuginfo-32bit, p-cpe:/a:novell:opensuse:mozilla-nss-tools, p-cpe:/a:novell:opensuse:mozilla-nss-tools-debuginfo, cpe:/o:novell:opensuse:12.3, cpe:/o:novell:opensuse:13.1
必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list
パッチ公開日: 2014/7/25
参照情報
CVE: CVE-2014-1544, CVE-2014-1547, CVE-2014-1548, CVE-2014-1549, CVE-2014-1550, CVE-2014-1552, CVE-2014-1555, CVE-2014-1556, CVE-2014-1557, CVE-2014-1558, CVE-2014-1559, CVE-2014-1560, CVE-2014-1561