SUSE SLED12 / SLES12 のセキュリティ更新:MozillaFirefox/mozilla-nss (SUSE-SU-2014:1510-1)

high Nessus プラグイン ID 83849

概要

リモート SuSE ホストに1つ以上のセキュリティ更新がありません。

説明

- Firefox 31.2.0 ESR (bnc#900941)に更新されます

- MFSA 2014-74/CVE-2014-1574/CVE-2014-1575 (bmo#1001994、bmo#1011354、bmo#1018916、bmo#1020034、bmo#1023035、bmo#1032208、bmo#1033020、bmo#1034230、bmo#1061214、bmo#1061600、bmo#1064346、bmo#1072044、bmo#1072174)さまざまなメモリ安全性問題(rv:33.0/rv:31.2)

- MFSA 2014-75/CVE-2014-1576(bmo#1041512)CSS 操作中のバッファオーバーフロー

- MFSA 2014-76/CVE-2014-1577(bmo#1012609)カスタム waveform による Web オーディオメモリ破損の問題

- MFSA 2014-77/CVE-2014-1578(bmo#1063327)WebM ビデオによる、領域外の書き込み

- MFSA 2014-79/CVE-2014-1581(bmo#1068218)テキスト指向性との use-after-free 相互作用

- MFSA 2014-81/CVE-2014-1585/CVE-2014-1586(bmo#1062876、bmo#1062981)iframe 内の不整合なビデオ共有

- MFSA 2014-82/CVE-2014-1583 (bmo#1015540) Alarms API 経由のクロスオリジンオブジェクトへのアクセス

- SSLv3 は、デフォルトで無効です。詳細情報については、README.POODLE を参照してください。

- ホーム呼び出し機能が無効になります

- 3.17.2 (bnc#900941)に更新されます。バグ修正リリース

- bmo#1049435 - p < q の場合、RSA 秘密鍵のインポートに失敗します

- bmo#1057161 - NSS が、100% CPU の状態で、無効な EC キーでハングアップします

- bmo#1078669 - certutil が、
--certVersion パラメーターを使用する際にクラッシュします

- 3.17 ブランチの以前のバージョンからの変更:3.17.1 への更新(bnc#897890)

- MFSA 2014-73/CVE-2014-1568 (bmo#1064636、bmo#1069405)。NSS での RSA 署名偽造

- ライブラリの署名アルゴリズムのデフォルトを SHA256 に変更

- draft-ietf-tls-downgrade-scsv のサポートを追加

- clang-cl サポートを NSS ビルドシステムに追加

- TLS 1.3 を実装:

-パート 1。TLS 1.3 をネゴシエート

-パート 2。推奨されていない暗号化パッケージと圧縮を削除します。

- 3.17 への little-endian powerpc64 更新に対するサポートが追加されます

- Firefox 33 の新しい機能で必要:

- ECDHE を使用する場合、SSL_REUSE_SERVER_ECDHE_KEY ソケットオプションを PR_FALSE に設定することで、 TLS サーバーコードは各ハンドシェイクに対して新しいエフェメラル ECDH キーを生成するように構成されることがあります。SSL_REUSE_SERVER_ECDHE_KEY オプションのデフォルト値は PR_TRUE に設定されており、サーバーのエフェメラル ECDH キーは多数のハンドシェイクに再度使用されます。このオプションは TLS クライアントコードに影響せず、各ハンドシェイクに対して常に新しいエフェメラル ECDH キーを生成します。新しいマクロ

- SSL_REUSE_SERVER_ECDHE_KEY 重要な変更:

- certutil および pp ツール用マニュアルページは更新され、 NSS 3.16.2 に追加された新しいパラメーターを記載しています。

注意:Tenable Network Security は、前述の記述ブロックを SUSE セキュリティアドバイザリから直接抽出しています。Tenable では、できる限り新たな問題を持ち込まないように、自動的に整理して書式設定するようにしています。

ソリューション

この SUSE セキュリティ更新をインストールするには、YaST online_update を使用してください。
または、お使いの製品用に一覧になったコマンドを実行することも可能です。

SUSE Linux Enterprise ソフトウェア開発キット 12:

zypper in -t patch SUSE-SLE-SDK-12-2014-81

SUSE Linux Enterprise サーバー 12:

zypper in -t patch SUSE-SLE-SERVER-12-2014-81

SUSE Linux Enterprise Desktop 12:

zypper in -t patch SUSE-SLE-DESKTOP-12-2014-81

お使いのシステムを最新の状態にするには、「zypper パッチ」を使用してください。

参考資料

https://bugzilla.suse.com/show_bug.cgi?id=897890

https://bugzilla.suse.com/show_bug.cgi?id=900941

https://www.suse.com/security/cve/CVE-2014-1568/

https://www.suse.com/security/cve/CVE-2014-1574/

https://www.suse.com/security/cve/CVE-2014-1575/

https://www.suse.com/security/cve/CVE-2014-1576/

https://www.suse.com/security/cve/CVE-2014-1577/

https://www.suse.com/security/cve/CVE-2014-1578/

https://www.suse.com/security/cve/CVE-2014-1581/

https://www.suse.com/security/cve/CVE-2014-1583/

https://www.suse.com/security/cve/CVE-2014-1585/

https://www.suse.com/security/cve/CVE-2014-1586/

http://www.nessus.org/u?789145a1

プラグインの詳細

深刻度: High

ID: 83849

ファイル名: suse_SU-2014-1510-1.nasl

バージョン: 2.11

タイプ: local

エージェント: unix

公開日: 2015/5/27

更新日: 2021/1/19

サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 6.7

CVSS v2

リスクファクター: High

Base Score: 7.5

Temporal Score: 5.5

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P

脆弱性情報

CPE: p-cpe:/a:novell:suse_linux:mozillafirefox, p-cpe:/a:novell:suse_linux:mozillafirefox-branding-sle, p-cpe:/a:novell:suse_linux:mozillafirefox-debuginfo, p-cpe:/a:novell:suse_linux:mozillafirefox-debugsource, p-cpe:/a:novell:suse_linux:mozillafirefox-translations, p-cpe:/a:novell:suse_linux:libfreebl3, p-cpe:/a:novell:suse_linux:libfreebl3-debuginfo, p-cpe:/a:novell:suse_linux:libfreebl3-hmac, p-cpe:/a:novell:suse_linux:libsoftokn3, p-cpe:/a:novell:suse_linux:libsoftokn3-debuginfo, p-cpe:/a:novell:suse_linux:libsoftokn3-hmac, p-cpe:/a:novell:suse_linux:mozilla-nss, p-cpe:/a:novell:suse_linux:mozilla-nss-certs, p-cpe:/a:novell:suse_linux:mozilla-nss-certs-debuginfo, p-cpe:/a:novell:suse_linux:mozilla-nss-debuginfo, p-cpe:/a:novell:suse_linux:mozilla-nss-debugsource, p-cpe:/a:novell:suse_linux:mozilla-nss-tools, p-cpe:/a:novell:suse_linux:mozilla-nss-tools-debuginfo, cpe:/o:novell:suse_linux:12

必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2014/11/27

脆弱性公開日: 2014/9/25

参照情報

CVE: CVE-2014-1568, CVE-2014-1574, CVE-2014-1575, CVE-2014-1576, CVE-2014-1577, CVE-2014-1578, CVE-2014-1581, CVE-2014-1583, CVE-2014-1585, CVE-2014-1586

BID: 70116, 70424, 70425, 70426, 70427, 70428, 70430, 70436, 70439, 70440, 72178