openSUSE セキュリティ更新:MozillaFirefox / mozilla-nspr / mozilla-nss / etc(openSUSE-2015-718)

critical Nessus プラグイン ID 86807
New! プラグインの深刻度には CVSS v3 が適用されるようになりました。

プラグインの深刻度は、デフォルトで CVSS v3 を使って計算されるように更新されました。プラグインに CVSS v3 スコアがない場合には、CVSS v2 を使って深刻度が計算されます。深刻度の表示設定は、[設定]のドロップダウンで切り替えができます。

概要

リモート openSUSE ホストに、セキュリティ更新がありません。

説明

Mozilla Firefox はバージョン 42.0 に更新され、バグとセキュリティ問題が修正されました。Mozilla XULRunner は XULRunner 38.4.0 に更新されました。SeaMonkey が 2.39 に更新されました。

Mozilla Firefox の新機能:

- トラッキング保護機能搭載プライベートブラウジングは、サイト間の行動を記録するために使用される可能性がある特定の Web 要素をブロックします

- サイトセキュリティとプライバシーコントロールを含む Control Center

- Login Manager の改善

- WebRTC の改善

- オーディオを再生し、ワンクリックで消音できるタブにインジケーターを追加しました

- HTML5 ビデオ用の Media Source Extension がすべてのサイトで利用可能

セキュリティ修正:

- MFSA 2015-116/CVE-2015-4513/CVE-2015-4514 さまざまなメモリ安全性の問題

- MFSA 2015-117/CVE-2015-4515(bmo#1046421)NTLM 認証からの情報漏洩

- MFSA 2015-118/CVE-2015-4518(bmo#1182778、bmo#1136692)制限の緩い Reader モードのホワイトリストによる、CSP バイパス

- MFSA 2015-119/CVE-2015-7185(bmo#1149000)(Android のみ)Android 用の Firefox のアドレスバーは、全画面モード後に削除できます

- MFSA 2015-120/CVE-2015-7186(bmo#1193027)(Android のみ)Android 上のローカル HTML ファイルから機密プロファイルファイルの読み込み

- MFSA 2015-121/CVE-2015-7187(bmo#1195735)アドオン SDK パネルのスクリプトを無効化しても、効果がありません

- MFSA 2015-122/CVE-2015-7188(bmo#1199430)IP アドレスホスト名の末尾に空白をつけることで、同一生成元ポリシーがバイパスされる可能性があります

- MFSA 2015-123/CVE-2015-7189(bmo#1205900)キャンバスの画像インタラクション中のバッファオーバーフロー

- MFSA 2015-124/CVE-2015-7190(bmo#1208520)(Android のみ)Android intent は、Android 用の Firefox が権限を持つファイルを開くのに使用できます

- MFSA 2015-125/CVE-2015-7191(bmo#1208956)(Android のみ)Android 用 Firefox の intent からの XSS 攻撃

- MFSA 2015-126/CVE-2015-7192(bmo#1210023)(OS X のみ)OS X においてアクセスビリティツールで HTML テーブルにアクセスする際のクラッシュ

- MFSA 2015-127/CVE-2015-7193(bmo#1210302)非標準の Content-Type ヘッダーを受信したときに、CORS preflight がバイパスされます

- MFSA 2015-128/CVE-2015-7194(bmo#1211262)zip ファイルによる libjar のメモリ破損

- MFSA 2015-129/CVE-2015-7195(bmo#1211871)Location-header のホストの特定のエスケープされた文字は、エスケープされないものとして扱われています

- MFSA 2015-130/CVE-2015-7196(bmo#1140616)Java アプレットによる JavaScript ガベージコレクションのクラッシュ

- MFSA 2015-131/CVE-2015-7198/CVE-2015-7199/CVE-2015-7200(bmo#1188010、bmo#1204061、bmo#1204155)コード検査で見つかった脆弱性

- MFSA 2015-132/CVE-2015-7197(bmo#1204269)ワーカーを介する混合コンテンツの WebSocket ポリシーバイパス

- MFSA 2015-133/CVE-2015-7181/CVE-2015-7182/CVE-2015-7183(bmo#1202868、bmo#1205157)NSS および NSPR のメモリ破損の問題(mozilla-nspr および mozilla-nss パッケージで修正されました)

mozilla-nspr が 4.10.10 に更新されました:

- MFSA 2015-133/CVE-2015-7183(bmo#1205157)メモリ破損問題

この更新には、バージョン 4.10.9 への更新が含まれます

- bmo#1021167:_MW_PollInternal の失敗時の
|poll_list| の漏洩

- bmo#1030692:windows の nspr のコンパイルを再び可能にします。

- bmo#1088790:dosprint() は、%zu およびその他のサイズ形式をサポートしません

- bmo#1130787:prtime.h は、MSVC の /Za(ISO C/C++ 適合性)オプションでコンパイルしません

- bmo#1153610:MIPS64:n64 ABI のサポートを追加します

- bmo#1156029:clang-analyzer に PR_ASSERT について教えます

- bmo#1160125:MSVC バージョン検出は破損しています。CC はラッパーに設定されています(sccache 同様)

- bmo#1163346:FreeBSD mips/mips64 の NSPR サポートを追加します

- bmo#1169185:OpenRISC(または 1k)のサポートを追加します

- bmo:1174749:MACOS_SDK_DIR を使用する iOS の構成ブロックを削除します

- bmo#1174781:PR_GetInheritedFD は初期化されていない変数を使用できます

mozilla-nss が 3.20.1 に更新されました:

- NSPR 4.10.10 が必要

- MFSA 2015-133/CVE-2015-7181/CVE-2015-7182(bmo#1192028、bmo#1202868)メモリ破損問題

- Java 7 の Sun 楕円曲線プロバイダーをリンクするために必要な静的 libfreebl.a をインストールしてください。

これには、Mozilla NSS の NSS 3.20 への更新が含まれます 新機能:

- TLS ライブラリは、サーバーアプリケーションの DHE 暗号スイートをサポートするように拡張されました。新しい機能:

- SSL_DHEGroupPrefSet - サーバーソケットの NSS による使用が可能な許可/有効化された DHE グループパラメーターのセットを構成してください。

- SSL_EnableWeakDHEPrimeGroup - ライブラリデフォルトの最小サイズよりも小さい弱い DHE グループパラメーターの使用を有効にしてください。新しいタイプ:

- SSLDHEGroupType - 関数 SSL_DHEGroupPrefSet と使用できる NSS に埋め込まれた DHE パラメーターのセットを列挙します。新しいマクロ:

- SSL_ENABLE_SERVER_DHE - サーバーソケットの DHE 暗号スイートを有効または無効にするソケットオプションユーザー。注目に値する変更:

- 後方互換性の理由により、TLS ライブラリのサーバー側の実装は、デフォルトですべての DHE 暗号スイートを無効のまま維持します。これらは、新しいソケットオプション SSL_ENABLE_SERVER_DHE と SSL_OptionSet または SSL_OptionSetDefault API で有効にできます。

- TLS 実装のサーバー側の実装は、DHE 暗号スイート使用時、セッションチケットをサポートしません(bmo#1174677 を参照してください)。

- 次の暗号スイートのサポートが追加されました:

- TLS_DHE_DSS_WITH_AES_128_GCM_SHA256

- TLS_DHE_DSS_WITH_AES_128_CBC_SHA256

- TLS_DHE_DSS_WITH_AES_256_CBC_SHA256

- デフォルトで、サーバー側の TLS 実装は、DHE 暗号スイート使用時、2048 ビットサイズの DHE パラメーターを使用します。

- NSS は、2048、3072、4096、6144 および 8192 ビットサイズの修正済み DHE パラメーターを埋め込みます。これは、インターネットドラフト「Negotiated Finite Field Diffie-Hellman Ephemeral Parameters for TLS」、Appendix A のバージョン 08 からコピーされました。

- 新しい API SSL_DHEGroupPrefSet が NSS に追加されました。これにより、サーバーアプリケーションが、1 つまたは複数の埋め込まれた DHE パラメーターを優先パラメーターとして選択することが可能です。NSS の現在の実装は、SSL_DHEGroupPrefSet API に対するパラメーターとして渡された配列の最初のエントリを常に使用します。TLS 実装の将来のバージョンでは、TLS クライアントは特定の DHE パラメーターの優先を合図する可能性があります。また、NSS TLS サーバー側の実装は、サーバー側で優先として構成されたパラメーターのセットから一致するエントリを選択する可能性があります。

- NSS は、レガシークライアントをサポートするために、DHE 暗号スイートを持つ弱い DHE パラメーターの使用をオプションでサポートします。このサポートを有効にするためには、新しい API SSL_EnableWeakDHEPrimeGroup を使用する必要があります。この API がプロセスで初めて呼び出されるたびに、弱い DHE パラメーターの新しいセットがランダムに作成されます。これには、長い時間がかかる可能性があります。詳細については、SSL_EnableWeakDHEPrimeGroup API を宣言するヘッダーファイルのコメントを参照してください。

- DSA 鍵作成時に certutil によって使用されるデフォルト PQG パラメーターのサイズは、2048 ビットパラメーターを使用するように増やされました。

- セルフサービスユーティリティが、新しい DHE 機能をサポートするように強化されました。

- NSS は、ANSI C 標準(C89)よりも古い C コンパイラをサポートしなくなりました。

また、NSS 3.19.3 への更新も含まれています。certstore の更新のみ

- 次の CA 証明書が削除されました

- Buypass Class 3 CA 1

- TÜRKTRUST Elektronik Sertifika Hizmet Sağlayıcısı

- SG TRUST SERVICES RACINE

- TC TrustCenter Universal CA I

- TC TrustCenter Class 2 CA II

- 次の CA 証明書では、Web サイトトラストビットをオフにしました

- ComSign Secured CA

- 次の CA 証明書が追加されました

- TÜRKTRUST Elektronik Sertifika Hizmet Sağlayıcısı H5

- TÜRKTRUST Elektronik Sertifika Hizmet Sağlayıcısı H6

- Certinomis - Root CA

- 更新済み root CA リストのバージョン番号は、2.5 に設定されました

- Java 7 の Sun 楕円曲線プロバイダーを構築するために必要な blapi.h と algmac.h をインストールしてください

ソリューション

影響を受ける MozillaFirefox / mozilla-nspr / mozilla-nss / etc パッケージを更新してください。

関連情報

https://bugzilla.opensuse.org/show_bug.cgi?id=952810

プラグインの詳細

深刻度: Critical

ID: 86807

ファイル名: openSUSE-2015-718.nasl

バージョン: 2.11

タイプ: local

エージェント: unix

公開日: 2015/11/10

更新日: 2021/1/19

依存関係: ssh_get_info.nasl

リスク情報

VPR

リスクファクター: Medium

スコア: 5.9

CVSS v2

リスクファクター: High

Base Score: 7.5

ベクトル: AV:N/AC:L/Au:N/C:P/I:P/A:P

CVSS v3

リスクファクター: Critical

Base Score: 9.8

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

脆弱性情報

CPE: p-cpe:/a:novell:opensuse:MozillaFirefox, p-cpe:/a:novell:opensuse:MozillaFirefox-branding-upstream, p-cpe:/a:novell:opensuse:MozillaFirefox-buildsymbols, p-cpe:/a:novell:opensuse:MozillaFirefox-debuginfo, p-cpe:/a:novell:opensuse:MozillaFirefox-debugsource, p-cpe:/a:novell:opensuse:MozillaFirefox-devel, p-cpe:/a:novell:opensuse:MozillaFirefox-translations-common, p-cpe:/a:novell:opensuse:MozillaFirefox-translations-other, p-cpe:/a:novell:opensuse:libfreebl3, p-cpe:/a:novell:opensuse:libfreebl3-32bit, p-cpe:/a:novell:opensuse:libfreebl3-debuginfo, p-cpe:/a:novell:opensuse:libfreebl3-debuginfo-32bit, p-cpe:/a:novell:opensuse:libsoftokn3, p-cpe:/a:novell:opensuse:libsoftokn3-32bit, p-cpe:/a:novell:opensuse:libsoftokn3-debuginfo, p-cpe:/a:novell:opensuse:libsoftokn3-debuginfo-32bit, p-cpe:/a:novell:opensuse:mozilla-nspr, p-cpe:/a:novell:opensuse:mozilla-nspr-32bit, p-cpe:/a:novell:opensuse:mozilla-nspr-debuginfo, p-cpe:/a:novell:opensuse:mozilla-nspr-debuginfo-32bit, p-cpe:/a:novell:opensuse:mozilla-nspr-debugsource, p-cpe:/a:novell:opensuse:mozilla-nspr-devel, p-cpe:/a:novell:opensuse:mozilla-nss, p-cpe:/a:novell:opensuse:mozilla-nss-32bit, p-cpe:/a:novell:opensuse:mozilla-nss-certs, p-cpe:/a:novell:opensuse:mozilla-nss-certs-32bit, p-cpe:/a:novell:opensuse:mozilla-nss-certs-debuginfo, p-cpe:/a:novell:opensuse:mozilla-nss-certs-debuginfo-32bit, p-cpe:/a:novell:opensuse:mozilla-nss-debuginfo, p-cpe:/a:novell:opensuse:mozilla-nss-debuginfo-32bit, p-cpe:/a:novell:opensuse:mozilla-nss-debugsource, p-cpe:/a:novell:opensuse:mozilla-nss-devel, p-cpe:/a:novell:opensuse:mozilla-nss-sysinit, p-cpe:/a:novell:opensuse:mozilla-nss-sysinit-32bit, p-cpe:/a:novell:opensuse:mozilla-nss-sysinit-debuginfo, p-cpe:/a:novell:opensuse:mozilla-nss-sysinit-debuginfo-32bit, p-cpe:/a:novell:opensuse:mozilla-nss-tools, p-cpe:/a:novell:opensuse:mozilla-nss-tools-debuginfo, p-cpe:/a:novell:opensuse:seamonkey, p-cpe:/a:novell:opensuse:seamonkey-debuginfo, p-cpe:/a:novell:opensuse:seamonkey-debugsource, p-cpe:/a:novell:opensuse:seamonkey-dom-inspector, p-cpe:/a:novell:opensuse:seamonkey-irc, p-cpe:/a:novell:opensuse:seamonkey-translations-common, p-cpe:/a:novell:opensuse:seamonkey-translations-other, p-cpe:/a:novell:opensuse:xulrunner, p-cpe:/a:novell:opensuse:xulrunner-32bit, p-cpe:/a:novell:opensuse:xulrunner-debuginfo, p-cpe:/a:novell:opensuse:xulrunner-debuginfo-32bit, p-cpe:/a:novell:opensuse:xulrunner-debugsource, p-cpe:/a:novell:opensuse:xulrunner-devel, cpe:/o:novell:opensuse:13.1, cpe:/o:novell:opensuse:13.2, cpe:/o:novell:opensuse:42.1

必要な KB アイテム: Host/local_checks_enabled, Host/SuSE/release, Host/SuSE/rpm-list, Host/cpu

パッチ公開日: 2015/11/7

参照情報

CVE: CVE-2015-4513, CVE-2015-4514, CVE-2015-4515, CVE-2015-4518, CVE-2015-7181, CVE-2015-7182, CVE-2015-7183, CVE-2015-7185, CVE-2015-7186, CVE-2015-7187, CVE-2015-7188, CVE-2015-7189, CVE-2015-7190, CVE-2015-7191, CVE-2015-7192, CVE-2015-7193, CVE-2015-7194, CVE-2015-7195, CVE-2015-7196, CVE-2015-7197, CVE-2015-7198, CVE-2015-7199, CVE-2015-7200