openSUSE セキュリティ更新:firefox/mozilla-nspr/mozilla-nss(openSUSE-SU-2014:1344-1)
critical Nessus プラグイン ID 78818
Language:
概要
リモート openSUSE ホストに、セキュリティ更新がありません。説明
- Firefox 33.0 への更新(bnc#900941)新機能:- OpenH264 サポート(サンドボックス)
- 強化されたタイル
- ロケーションバーの検索の使用感を改善
- よりスリムかつ高速な JavaScript の文字列
- 新しい CSP(Content Security Policy)バックエンド
- HTTPS 上において HTTP プロキシに対する接続のサポート
- セッション復元の信頼性を改善
- 専用の window.crypto プロパティ/機能が 以下のセキュリティを削除:
- MFSA 2014-74/CVE-2014-1574/CVE-2014-1575 さまざまなメモリ安全性の問題
- MFSA 2014-75/CVE-2014-1576(bmo#1041512)CSS 操作中のバッファオーバーフロー
- MFSA 2014-76/CVE-2014-1577(bmo#1012609)カスタム waveform による Web オーディオメモリ破損の問題
- MFSA 2014-77/CVE-2014-1578(bmo#1063327)WebM ビデオによる、領域外の書き込み
- MFSA 2014-78/CVE-2014-1580(bmo#1063733)GIF レンダリング中の、更なる初期化されていないメモリの使用
- MFSA 2014-79/CVE-2014-1581(bmo#1068218)テキスト指向性との use-after-free 相互作用
- MFSA 2014-80/CVE-2014-1582/CVE-2014-1584(bmo#1049095、bmo#1066190)キーピンニングのバイパス
- MFSA 2014-81/CVE-2014-1585/CVE-2014-1586(bmo#1062876、bmo#1062981)iframe 内の不整合なビデオ共有
- MFSA 2014-82/CVE-2014-1583(bmo#1015540)Alarms API 経由のクロスオリジンオブジェクトへのアクセス(インストール済み Web アプリに対してのみ該当)
- NSPR 4.10.7 が必要
- NSS 3.17.1 が必要
- 使われなくなったパッチを削除:
- mozilla-ppc.patch
- mozilla-libproxy-compat.patch
- 基本的な appdata 情報を追加
- SeaMonkey 2.30 への更新(bnc#900941)
- venkman デバッガーがアプリケーションから削除されました。そのため、seamonkey-venkman パッケージが廃止されました。
- MFSA 2014-74/CVE-2014-1574/CVE-2014-1575 さまざまなメモリ安全性の問題
- MFSA 2014-75/CVE-2014-1576(bmo#1041512)CSS 操作中のバッファオーバーフロー
- MFSA 2014-76/CVE-2014-1577(bmo#1012609)カスタム waveform による Web オーディオメモリ破損の問題
- MFSA 2014-77/CVE-2014-1578(bmo#1063327)WebM ビデオによる、領域外の書き込み
- MFSA 2014-78/CVE-2014-1580(bmo#1063733)GIF レンダリング中の、更なる初期化されていないメモリの使用
- MFSA 2014-79/CVE-2014-1581(bmo#1068218)テキスト指向性との use-after-free 相互作用
- MFSA 2014-80/CVE-2014-1582/CVE-2014-1584(bmo#1049095、bmo#1066190)キーピンニングのバイパス
- MFSA 2014-81/CVE-2014-1585/CVE-2014-1586(bmo#1062876、bmo#1062981)iframe 内の不整合なビデオ共有
- MFSA 2014-82/CVE-2014-1583(bmo#1015540)Alarms API 経由のクロスオリジンオブジェクトへのアクセス(インストール済み Web アプリに対してのみ該当)
- NSPR 4.10.7 が必要
- NSS 3.17.1 が必要
- 使われなくなったパッチを削除:
- mozilla-ppc.patch
- mozilla-libproxy-compat.patch
mozilla-nss での変更:
- 3.17.1 への更新(bnc#897890)
- ライブラリの署名アルゴリズムのデフォルトを SHA256 に変更
- draft-ietf-tls-downgrade-scsv のサポートを追加
- clang-cl サポートを NSS ビルドシステムに追加
- TLS 1.3 を実装:
-パート 1。TLS 1.3 をネゴシエート
-パート 2。推奨されていない暗号化パッケージと圧縮を削除します。
- little-endian powerpc64 サポートを追加
- 3.17 への更新
- Firefox 33 の新しい機能で必要:
- ECDHE を使用する場合、SSL_REUSE_SERVER_ECDHE_KEY ソケットオプションを PR_FALSE に設定することで、 TLS サーバーコードは各ハンドシェイクに対して新しいエフェメラル ECDH キーを生成するように構成されることがあります。SSL_REUSE_SERVER_ECDHE_KEY オプションのデフォルト値は PR_TRUE に設定されており、サーバーのエフェメラル ECDH キーは多数のハンドシェイクに再度使用されます。このオプションは TLS クライアントコードに影響せず、各ハンドシェイクに対して常に新しいエフェメラル ECDH キーを生成します。新しいマクロ
- SSL_REUSE_SERVER_ECDHE_KEY 重要な変更:
- certutil および pp ツール用マニュアルページは更新され、 NSS 3.16.2 に追加された新しいパラメーターを記載しています。
-新しいビルド変数 USE_STATIC_RTL は Windows 上で、使用される必要がある静的 C runtime ライブラリを特定するのに利用できます。デフォルトでは、動的 C runtime ライブラリが使用されます。
mozilla-nspr での変更:
- バージョン 4.10.7 への更新
- bmo#836658:デフォルトでは、VC11+ のデフォルト値は SSE2 ビルドに設定されています。
- bmo#979278:TSan:データ競合 nsprpub/pr/src/threads/prtpd.c:103 PR_NewThreadPrivateIndex。
- bmo#1026129:MSVC 組み込み関数のマニュアル宣言の一部を、#include <intrin.h> と置換します。
- bmo#1026469:MOZ_CHECK_PTHREADS の代わりに、 AC_CHECK_LIB を使用します。$CC が文字通り「cl」ではない場合でも、MSVC を使用する際にコンパイラチェックをスキップします。
- bmo#1034415:NSPR は、Windows 上で C コンパイラを cl にハードコードします。
- bmo#1042408:Android > API レベル 19 に対するコンパイルの修正。
- bmo#1043082:NSPR のビルドシステムは -MD をハードコードします。
ソリューション
影響を受ける firefox/mozilla-nspr/mozilla-nss パッケージを更新してください。参考資料
https://bugzilla.mozilla.org/show_bug.cgi?id=836658
https://bugzilla.mozilla.org/show_bug.cgi?id=979278
https://bugzilla.opensuse.org/show_bug.cgi?id=894370
https://bugzilla.opensuse.org/show_bug.cgi?id=896624
https://bugzilla.opensuse.org/show_bug.cgi?id=897890
https://bugzilla.opensuse.org/show_bug.cgi?id=900941
https://bugzilla.opensuse.org/show_bug.cgi?id=901213
https://lists.opensuse.org/opensuse-updates/2014-11/msg00001.html
https://bugzilla.mozilla.org/show_bug.cgi?id=1012609
https://bugzilla.mozilla.org/show_bug.cgi?id=1015540
https://bugzilla.mozilla.org/show_bug.cgi?id=1026129
https://bugzilla.mozilla.org/show_bug.cgi?id=1026469
https://bugzilla.mozilla.org/show_bug.cgi?id=1034415
https://bugzilla.mozilla.org/show_bug.cgi?id=1041512
https://bugzilla.mozilla.org/show_bug.cgi?id=1042408
https://bugzilla.mozilla.org/show_bug.cgi?id=1043082
https://bugzilla.mozilla.org/show_bug.cgi?id=1049095
https://bugzilla.mozilla.org/show_bug.cgi?id=1062876
https://bugzilla.mozilla.org/show_bug.cgi?id=1062981
https://bugzilla.mozilla.org/show_bug.cgi?id=1063327
https://bugzilla.mozilla.org/show_bug.cgi?id=1063733
https://bugzilla.mozilla.org/show_bug.cgi?id=1063971
プラグインの詳細
深刻度: Critical
ID: 78818
ファイル名: openSUSE-2014-612.nasl
バージョン: 1.7
タイプ: local
エージェント: unix
ファミリー: SuSE Local Security Checks
公開日: 2014/11/3
更新日: 2021/1/19
サポートされているセンサー: Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 6.7
CVSS v2
リスクファクター: Critical
基本値: 10
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C
脆弱性情報
CPE: p-cpe:/a:novell:opensuse:seamonkey, p-cpe:/a:novell:opensuse:seamonkey-debuginfo, p-cpe:/a:novell:opensuse:seamonkey-debugsource, p-cpe:/a:novell:opensuse:seamonkey-dom-inspector, p-cpe:/a:novell:opensuse:seamonkey-irc, p-cpe:/a:novell:opensuse:seamonkey-translations-common, p-cpe:/a:novell:opensuse:seamonkey-translations-other, cpe:/o:novell:opensuse:12.3, p-cpe:/a:novell:opensuse:mozillafirefox, p-cpe:/a:novell:opensuse:mozillafirefox-branding-upstream, p-cpe:/a:novell:opensuse:mozillafirefox-buildsymbols, p-cpe:/a:novell:opensuse:mozillafirefox-debuginfo, p-cpe:/a:novell:opensuse:mozillafirefox-debugsource, p-cpe:/a:novell:opensuse:mozillafirefox-devel, p-cpe:/a:novell:opensuse:mozillafirefox-translations-common, p-cpe:/a:novell:opensuse:mozillafirefox-translations-other, p-cpe:/a:novell:opensuse:libfreebl3, p-cpe:/a:novell:opensuse:libfreebl3-32bit, p-cpe:/a:novell:opensuse:libfreebl3-debuginfo, p-cpe:/a:novell:opensuse:libfreebl3-debuginfo-32bit, p-cpe:/a:novell:opensuse:libsoftokn3, p-cpe:/a:novell:opensuse:libsoftokn3-32bit, p-cpe:/a:novell:opensuse:libsoftokn3-debuginfo, p-cpe:/a:novell:opensuse:libsoftokn3-debuginfo-32bit, p-cpe:/a:novell:opensuse:mozilla-nspr, p-cpe:/a:novell:opensuse:mozilla-nspr-32bit, p-cpe:/a:novell:opensuse:mozilla-nspr-debuginfo, p-cpe:/a:novell:opensuse:mozilla-nspr-debuginfo-32bit, p-cpe:/a:novell:opensuse:mozilla-nspr-debugsource, p-cpe:/a:novell:opensuse:mozilla-nspr-devel, p-cpe:/a:novell:opensuse:mozilla-nss, p-cpe:/a:novell:opensuse:mozilla-nss-32bit, p-cpe:/a:novell:opensuse:mozilla-nss-certs, p-cpe:/a:novell:opensuse:mozilla-nss-certs-32bit, p-cpe:/a:novell:opensuse:mozilla-nss-certs-debuginfo, p-cpe:/a:novell:opensuse:mozilla-nss-certs-debuginfo-32bit, p-cpe:/a:novell:opensuse:mozilla-nss-debuginfo, p-cpe:/a:novell:opensuse:mozilla-nss-debuginfo-32bit, p-cpe:/a:novell:opensuse:mozilla-nss-debugsource, p-cpe:/a:novell:opensuse:mozilla-nss-devel, p-cpe:/a:novell:opensuse:mozilla-nss-sysinit, p-cpe:/a:novell:opensuse:mozilla-nss-sysinit-32bit, p-cpe:/a:novell:opensuse:mozilla-nss-sysinit-debuginfo, p-cpe:/a:novell:opensuse:mozilla-nss-sysinit-debuginfo-32bit, p-cpe:/a:novell:opensuse:mozilla-nss-tools, p-cpe:/a:novell:opensuse:mozilla-nss-tools-debuginfo
必要な KB アイテム: Host/local_checks_enabled, Host/SuSE/release, Host/SuSE/rpm-list, Host/cpu
パッチ公開日: 2014/10/23
参照情報
CVE: CVE-2014-1554, CVE-2014-1574, CVE-2014-1575, CVE-2014-1576, CVE-2014-1577, CVE-2014-1578, CVE-2014-1580, CVE-2014-1581, CVE-2014-1582, CVE-2014-1583, CVE-2014-1584, CVE-2014-1585, CVE-2014-1586