SUSE SLES10 セキュリティ更新:Mozilla Firefox(SUSE-SU-2015:2081-1)
critical Nessus プラグイン ID 87063
Language:
概要
リモート SuSE ホストに1つ以上のセキュリティ更新がありません。説明
MozillaFirefox ESR はバージョン 38.4.0ESR に更新され、複数のセキュリティ問題が修正されました。MFSA 2015-116/CVE-2015-4513 様々なメモリ安全性の問題(rv:42.0 / rv:38.4)
MFSA 2015-122/CVE-2015-7188 IP アドレスのホスト名の末尾に空白をつけることで、同一生成元ポリシーがバイパスされる可能性があります。
MFSA 2015-123/CVE-2015-7189 キャンバスの画像インタラクション中のバッファオーバーフロー
MFSA 2015-127/CVE-2015-7193 CORS 非標準の Content-Type ヘッダーを受信したときに、CORS プリフライトがバイパスされます。
MFSA 2015-128/CVE-2015-7194 zip ファイルによる libjar のメモリ破損
MFSA 2015-130/CVE-2015-7196 Java アプレットによる JavaScript ガベージコレクションのクラッシュ
MFSA 2015-131/CVE-2015-7198/CVE-2015-7199/CVE-2015-7200 コード検査で見つかった脆弱性
MFSA 2015-132/CVE-2015-7197 ワーカーを介する混合コンテンツの WebSocket ポリシーバイパス
MFSA 2015-133/CVE-2015-7181/CVE-2015-7182/CVE-2015-7183 NSS および NSPR のメモリ破損問題
また、38.3.0ESR からの修正も含まれます:
MFSA 2015-96/CVE-2015-4500/CVE-2015-4501 様々なメモリ安全性の問題(rv:41.0 / rv:38.3)
MFSA 2015-101/CVE-2015-4506 vp9 形式の動画解析中における、libvpx のバッファオーバーフロー
MFSA 2015-105/CVE-2015-4511 WebM 動画のデコーディング中のバッファオーバーフロー
MFSA 2015-106/CVE-2015-4509 HTML メディアコンテンツ操作中の use-after-free
MFSA 2015-110/CVE-2015-4519 リダイレクト後に画像をドラッグアンドドロップすると、最後の URL が漏洩します
MFSA 2015-111/CVE-2015-4520 CORS preflight リクエストヘッダー処理のエラー
MFSA 2015-112/CVE-2015-4517/CVE-2015-4521/CVE-2015-4522 CVE-2015-7174/CVE-2015-7175/CVE-2015-7176/CVE-2015-7177 CVE-2015-7180 コード検査で見つかった脆弱性
また、Firefox 38.2.1ESR リリースからの修正も含まれます:
MFSA 2015-94/CVE-2015-4497(bsc#943557)スタイル変更中のキャンバス要素のサイズ変更での use-after-free
MFSA 2015-95/CVE-2015-4498(bsc#943558)データ URL を通じたアドオン通知バイパス
また、Firefox 38.2.0ESR リリースからの修正も含まれます:
MFSA 2015-79/CVE-2015-4473/CVE-2015-4474 様々なメモリ安全性の問題(rv:40.0 / rv:38.2)
MFSA 2015-80/CVE-2015-4475 無効な形式の MP3 ファイルに関する領域外の読み取り
MFSA 2015-82/CVE-2015-4478 構成不能な JavaScript オブジェクトプロパティの再定義
MFSA 2015-83/CVE-2015-4479 libstagefright でのオーバーフローの問題
MFSA 2015-87/CVE-2015-4484 JavaScript で共有メモリを使用する際のクラッシュ
MFSA 2015-88/CVE-2015-4491 ビットマップ画像をスケーリングする際の gdk-pixbuf でのヒープオーバーフロー
MFSA 2015-89/CVE-2015-4485/CVE-2015-4486 WebM 動画をデコーディングする際の Libvpx でのバッファオーバーフロー
MFSA 2015-90/CVE-2015-4487/CVE-2015-4488/CVE-2015-4489 コード検査で見つかった脆弱性
MFSA 2015-92/CVE-2015-4492 共有ワーカーに関する XMLHttpRequest での use-after-free
注意:Tenable Network Security は、前述の記述ブロックを SUSE セキュリティアドバイザリから直接抽出しています。Tenable では、できる限り新たな問題を持ち込まないように、自動的に整理して書式設定するようにしています。
ソリューション
影響を受けた Mozilla Firefox パッケージを更新してください。参考資料
https://bugzilla.suse.com/show_bug.cgi?id=908275
https://bugzilla.suse.com/show_bug.cgi?id=940806
https://bugzilla.suse.com/show_bug.cgi?id=943557
https://bugzilla.suse.com/show_bug.cgi?id=943558
https://www.suse.com/security/cve/CVE-2015-4491/
https://www.suse.com/security/cve/CVE-2015-4492/
https://www.suse.com/security/cve/CVE-2015-4497/
https://www.suse.com/security/cve/CVE-2015-4498/
https://www.suse.com/security/cve/CVE-2015-4500/
https://www.suse.com/security/cve/CVE-2015-4501/
https://www.suse.com/security/cve/CVE-2015-4506/
https://www.suse.com/security/cve/CVE-2015-4509/
https://www.suse.com/security/cve/CVE-2015-4511/
https://www.suse.com/security/cve/CVE-2015-4513/
https://www.suse.com/security/cve/CVE-2015-4517/
https://www.suse.com/security/cve/CVE-2015-4519/
https://www.suse.com/security/cve/CVE-2015-4520/
https://www.suse.com/security/cve/CVE-2015-4521/
https://www.suse.com/security/cve/CVE-2015-4522/
https://www.suse.com/security/cve/CVE-2015-7174/
https://www.suse.com/security/cve/CVE-2015-7175/
https://www.suse.com/security/cve/CVE-2015-7176/
https://www.suse.com/security/cve/CVE-2015-7177/
https://www.suse.com/security/cve/CVE-2015-7180/
https://www.suse.com/security/cve/CVE-2015-7181/
https://www.suse.com/security/cve/CVE-2015-7182/
https://www.suse.com/security/cve/CVE-2015-7183/
https://www.suse.com/security/cve/CVE-2015-7188/
https://www.suse.com/security/cve/CVE-2015-7189/
https://www.suse.com/security/cve/CVE-2015-7193/
https://www.suse.com/security/cve/CVE-2015-7194/
https://www.suse.com/security/cve/CVE-2015-7196/
https://www.suse.com/security/cve/CVE-2015-7197/
https://www.suse.com/security/cve/CVE-2015-7198/
https://www.suse.com/security/cve/CVE-2015-7199/
https://www.suse.com/security/cve/CVE-2015-7200/
http://www.nessus.org/u?7087ca82
https://bugzilla.suse.com/show_bug.cgi?id=943608
https://bugzilla.suse.com/show_bug.cgi?id=947003
https://bugzilla.suse.com/show_bug.cgi?id=952810
http://www.nessus.org/u?e7ef3af1
https://www.suse.com/security/cve/CVE-2015-4473/
https://www.suse.com/security/cve/CVE-2015-4474/
https://www.suse.com/security/cve/CVE-2015-4475/
https://www.suse.com/security/cve/CVE-2015-4478/
https://www.suse.com/security/cve/CVE-2015-4479/
https://www.suse.com/security/cve/CVE-2015-4484/
https://www.suse.com/security/cve/CVE-2015-4485/
https://www.suse.com/security/cve/CVE-2015-4486/
https://www.suse.com/security/cve/CVE-2015-4487/
プラグインの詳細
深刻度: Critical
ID: 87063
ファイル名: suse_SU-2015-2081-1.nasl
バージョン: 2.14
タイプ: local
エージェント: unix
ファミリー: SuSE Local Security Checks
公開日: 2015/11/25
更新日: 2021/1/6
サポートされているセンサー: Agentless Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 6.7
CVSS v2
リスクファクター: Critical
基本値: 10
現状値: 7.4
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C
CVSS v3
リスクファクター: Critical
基本値: 9.8
現状値: 8.5
ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C
脆弱性情報
CPE: p-cpe:/a:novell:suse_linux:mozillafirefox, p-cpe:/a:novell:suse_linux:mozillafirefox-branding-sled, p-cpe:/a:novell:suse_linux:mozillafirefox-translations, p-cpe:/a:novell:suse_linux:mozilla-nspr, p-cpe:/a:novell:suse_linux:mozilla-nspr-devel, p-cpe:/a:novell:suse_linux:mozilla-nss, p-cpe:/a:novell:suse_linux:mozilla-nss-devel, p-cpe:/a:novell:suse_linux:mozilla-nss-tools, cpe:/o:novell:suse_linux:10
必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list
エクスプロイトの容易さ: No known exploits are available
パッチ公開日: 2015/11/23
脆弱性公開日: 2015/8/15
参照情報
CVE: CVE-2015-4473, CVE-2015-4474, CVE-2015-4475, CVE-2015-4478, CVE-2015-4479, CVE-2015-4484, CVE-2015-4485, CVE-2015-4486, CVE-2015-4487, CVE-2015-4488, CVE-2015-4489, CVE-2015-4491, CVE-2015-4492, CVE-2015-4497, CVE-2015-4498, CVE-2015-4500, CVE-2015-4501, CVE-2015-4506, CVE-2015-4509, CVE-2015-4511, CVE-2015-4513, CVE-2015-4517, CVE-2015-4519, CVE-2015-4520, CVE-2015-4521, CVE-2015-4522, CVE-2015-7174, CVE-2015-7175, CVE-2015-7176, CVE-2015-7177, CVE-2015-7180, CVE-2015-7181, CVE-2015-7182, CVE-2015-7183, CVE-2015-7188, CVE-2015-7189, CVE-2015-7193, CVE-2015-7194, CVE-2015-7196, CVE-2015-7197, CVE-2015-7198, CVE-2015-7199, CVE-2015-7200