SuSE 11.3 セキュリティ更新:Mozilla Firefox(SAT パッチ番号 10373)

high Nessus プラグイン ID 81697

概要

リモート SuSE 11 ホストに1つ以上のセキュリティ更新がありません。

説明

Mozilla Firefox がバージョン 31.5.0 ESR に更新され、5 つのセキュリティの問題が修正されています。

これらのセキュリティ問題が修正されました:

31.5 より前の Mozilla Firefox における複数の詳細不明なのブラウザエンジンの脆弱性により、リモートの攻撃者がサービス拒否(メモリ破損とアプリケーションクラッシュ)を引き起こしたり、未知のベクターを介して任意のコードを実行する可能性があります。(bnc#917597)。
(CVE-2015-0836)

- 31.5 より前の Mozilla Firefox において、mozilla::gfx::CopyRect 関数にヒープベースのバッファオーバーフローが存在します。これにより、リモートの攻撃者が無効な形式の SVG グラフィックを介して初期化されていないプロセスメモリから機密情報を取得する可能性があります。(bnc#917597)。(CVE-2015-0827)

36.0 より前の Mozilla Firefox における複数の詳細不明なのブラウザエンジンの脆弱性により、リモートの攻撃者がサービス拒否(メモリ破損とアプリケーションクラッシュ)を引き起こしたり、未知のベクターを介して任意のコードを実行する可能性があります。(bnc#917597)。
(CVE-2015-0835)

- 31.5 より前の Mozilla Firefox において、mozilla::dom::IndexedDB::IDBObjectStore::CreateIndex 関数に use-after-free 脆弱性が存在します。これにより、リモートの攻撃者が IndexedDB インデックス作成時に不適切に処理される細工されたコンテンツを介して任意のコードを実行させたり、サービス拒否(ヒープメモリ破損)を引き起こす可能性があります。(bnc#917597)。(CVE-2015-0831)

- 31.5 より前の Mozilla Firefox におけるフォーム自動完成機能により、リモートの攻撃者が JavaScript コードを介して任意のファイルを読み取る可能性があります。(bnc#917597)。
(CVE-2015-0822)

これらの非セキュリティの問題が修正されています:

- デスクトップファイル名を MozillaFirefox.desktop に戻しました。(bnc#916196、bnc#917100)

- SLE11-SP1/2 からの旧式のサブパッケージ firefox-gcc47 により、SLE11-SP3 にアップグレードする際に問題が発生していました(bnc#917300)

ソリューション

SAT パッチ番号 10373 を適用してください。

参考資料

https://bugzilla.novell.com/show_bug.cgi?id=916196

https://bugzilla.novell.com/show_bug.cgi?id=917100

https://bugzilla.novell.com/show_bug.cgi?id=917300

https://bugzilla.novell.com/show_bug.cgi?id=917597

http://support.novell.com/security/cve/CVE-2015-0822.html

http://support.novell.com/security/cve/CVE-2015-0827.html

http://support.novell.com/security/cve/CVE-2015-0831.html

http://support.novell.com/security/cve/CVE-2015-0835.html

http://support.novell.com/security/cve/CVE-2015-0836.html

プラグインの詳細

深刻度: High

ID: 81697

ファイル名: suse_11_MozillaFirefox-150226.nasl

バージョン: 1.5

タイプ: local

エージェント: unix

公開日: 2015/3/9

更新日: 2021/1/6

サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 5.5

CVSS v2

リスクファクター: High

Base Score: 7.5

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P

脆弱性情報

CPE: p-cpe:/a:novell:suse_linux:11:mozillafirefox, p-cpe:/a:novell:suse_linux:11:mozillafirefox-translations, cpe:/o:novell:suse_linux:11

必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list

パッチ公開日: 2015/2/26

参照情報

CVE: CVE-2015-0822, CVE-2015-0827, CVE-2015-0831, CVE-2015-0835, CVE-2015-0836