検出

SUSE SLES10 / SLES11 セキュリティ更新:Mozilla Firefox(SUSE-SU-2015:0447-1)

high Nessus プラグイン ID 83692

Language:

概要

リモート SuSE ホストに1つ以上のセキュリティ更新がありません。

説明

Mozilla Firefox がバージョン 31.5.0 ESR に更新され、5 つのセキュリティの問題が修正されています。

これらのセキュリティ問題が修正されました:

- CVE-2015-0836:31.5 より前の Mozilla Firefox のブラウザエンジンにある詳細不明の複数の脆弱性により、リモートの攻撃者がサービス拒否(メモリ破損とアプリケーションクラッシュ)を引き起こしたり、不明なベクトルを介して任意のコードを実行したりする可能性がありました(bnc#917597)。

- CVE-2015-0827:31.5 より前の Mozilla Firefox の mozilla::gfx::CopyRect 関数におけるヒープベースのバッファオーバーフローによって、リモートの攻撃者は、不正な形式のSVG グラフィックを介して、初期化されていないプロセスメモリから機密情報を取得することが可能でした(bnc#917597)。

- CVE-2015-0835:36.0 より前の Mozilla Firefox のブラウザエンジンにある詳細不明の複数の脆弱性により、リモートの攻撃者がサービス拒否(メモリ破損とアプリケーションクラッシュ)を引き起こしたり、不明なベクトルを介して任意のコードを実行したりする可能性がありました(bnc#917597)。

- CVE-2015-0831:31.5 より前の Mozilla Firefox の mozilla::dom::IndexedDB::IDBObjectStore::CreateIndex 関数にある use-after-free 脆弱性によって、リモートの攻撃者は、任意のコードを実行することや、IndexedDB インデックス作成中に不適切に処理される細工されたコンテンツを介してサービス拒否(ヒープメモリ破損)を引き起こすことが可能でした(bnc#917597)。

- CVE-2015-0822:31.5 より前の Mozilla Firefox にあるフォーム自動完成機能により、リモートの攻撃者が、細工された JavaScript コードを介して任意のファイルを読み取ることが可能でした(bnc#917597)。

注意:Tenable Network Security は、前述の記述ブロックを SUSE セキュリティアドバイザリから直接抽出しています。Tenable では、できる限り新たな問題を持ち込まないように、自動的に整理して書式設定するようにしています。

ソリューション

この SUSE セキュリティ更新をインストールするには、YaST online_update を使用してください。
または、お使いの製品用に一覧になったコマンドを実行することも可能です。

SUSE Linux Enterprise サーバー 11 SP2 LTSS:

zypper in -t patch slessp2-MozillaFirefox=10377

SUSE Linux Enterprise サーバー 11 SP1 LTSS:

zypper in -t patch slessp1-MozillaFirefox=10368

お使いのシステムを最新の状態にするには、「zypper パッチ」を使用してください。

参考資料

https://bugzilla.suse.com/show_bug.cgi?id=917597

http://www.nessus.org/u?bb48d3b4

http://www.nessus.org/u?b1ea9cff

http://www.nessus.org/u?78e37051

https://www.suse.com/security/cve/CVE-2015-0822/

https://www.suse.com/security/cve/CVE-2015-0827/

https://www.suse.com/security/cve/CVE-2015-0831/

https://www.suse.com/security/cve/CVE-2015-0836/

http://www.nessus.org/u?36576be6

プラグインの詳細

深刻度: High

ID: 83692

ファイル名: suse_SU-2015-0447-1.nasl

バージョン: 2.11

タイプ: local

エージェント: unix

公開日: 2015/5/20

更新日: 2021/1/6

サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 5.5

CVSS v2

リスクファクター: High

基本値: 7.5

現状値: 5.5

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P

脆弱性情報

CPE: p-cpe:/a:novell:suse_linux:mozillafirefox, p-cpe:/a:novell:suse_linux:mozillafirefox-translations, cpe:/o:novell:suse_linux:10, cpe:/o:novell:suse_linux:11

必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2015/3/6

脆弱性公開日: 2015/2/25

参照情報

CVE: CVE-2015-0822, CVE-2015-0827, CVE-2015-0831, CVE-2015-0835, CVE-2015-0836

BID: 72742, 72746, 72748, 72755, 72756