openSUSE セキュリティ更新:MozillaFirefox/mozilla-nss(openSUSE-2016-714)
high Nessus プラグイン ID 91589
Language:
概要
リモート openSUSE ホストに、セキュリティ更新がありません。説明
Mozilla Firefox 47 へのこの更新は、次の問題を修正します(boo#983549):セキュリティ修正:
- CVE-2016-2815/CVE-2016-2818:さまざまなメモリの安全性に関する問題(boo#983638 MFSA 2016-49)
- CVE-2016-2819:バッファオーバーフローによる HTML5 フラグメントの解析(boo#983655 MFSA 2016-50)
- CVE-2016-2821:use-after-free による contenteditable ドキュメントからのテーブルの削除(boo#983653 MFSA 2016-51)
- CVE-2016-2822:SELECT 要素によるアドレスバースプーフィング(boo#983652 MFSA 2016-52)
- CVE-2016-2824:WebGL シェーダーによる領域外の書き込み(boo#983651 MFSA 2016-53)
- CVE-2016-2825:データ URI を通じた location.host の設定による部分的な同一生成元ポリシー(boo#983649 MFSA 2016-54)
- CVE-2016-2828:リサイクルプール破壊後にテクスチャが WebGL 操作で使用される際での use-after-free(boo#983646 MFSA 2016-56)
- CVE-2016-2829:パーミッション通知に表示される不適切なアイコン(boo#983644 MFSA 2016-57)
- CVE-2016-2831:ユーザー権限のない全画面表示と恒久的なポインターロックの入力(boo#983643 MFSA 2016-58)
- CVE-2016-2832:CSS pseudo-classes を通じた無効なプラグインの情報漏洩(boo#983632 MFSA 2016-59)
- CVE-2016-2833:Java アプレットは、CSP 保護をバイパスします(boo#983640 MFSA 2016-60)
Mozilla NSS が 3.23 に更新され、次の脆弱性が対処されました:
- CVE-2016-2834:メモリの安全性に関するバグ(boo#983639 MFSA-2016-61)
以下の非セキュリティ変更も含まれています:
- 高速なマシンを持つユーザーに対して、VP9 動画コーデックを有効にします
- 組み込み YouTube 動画は、Flash がインストールされている場合 HTML5 動画で再生されます
- サイドバーのお使いのスマートフォンまたは別のコンピューターから、オープンタブを表示および検索します
- https リソースに対する「戻る/前へ」ナビゲーションでのキャッシュなしを許可します
次のパッケージ変更が含まれています:
- boo#981695:構成オプションをクリーンアップします(特に、FF からの GStreamer サポートを削除します)
- boo#980384:x86_64 上の PIE および full relro のビルドを有効にします
次の新しい機能が提供されています:
- ChaCha20/Poly1305 暗号および TLS 暗号化パッケージがサポートされています
- TLS ハンドシェイクで送信された TLS 拡張リストの順番が変更され、サーバーに対する Extended Master Secret の互換性が向上しました
ソリューション
影響を受ける MozillaFirefox または mozilla-nss パッケージを更新してください。参考資料
https://bugzilla.mozilla.org/show_bug.cgi?id=1025267
https://bugzilla.mozilla.org/show_bug.cgi?id=1193093
https://bugzilla.mozilla.org/show_bug.cgi?id=1206283
https://bugzilla.mozilla.org/show_bug.cgi?id=1221620
https://bugzilla.mozilla.org/show_bug.cgi?id=1223810
https://bugzilla.mozilla.org/show_bug.cgi?id=1234147
https://bugzilla.mozilla.org/show_bug.cgi?id=1241034
https://bugzilla.mozilla.org/show_bug.cgi?id=1241037
https://bugzilla.mozilla.org/show_bug.cgi?id=1241896
https://bugzilla.mozilla.org/show_bug.cgi?id=1242798
https://bugzilla.mozilla.org/show_bug.cgi?id=1243466
https://bugzilla.mozilla.org/show_bug.cgi?id=1245528
https://bugzilla.mozilla.org/show_bug.cgi?id=1245743
https://bugzilla.mozilla.org/show_bug.cgi?id=1248329
https://bugzilla.mozilla.org/show_bug.cgi?id=1248580
https://bugzilla.mozilla.org/show_bug.cgi?id=1256493
https://bugzilla.mozilla.org/show_bug.cgi?id=1256739
https://bugzilla.mozilla.org/show_bug.cgi?id=1256968
https://bugzilla.mozilla.org/show_bug.cgi?id=1261230
https://bugzilla.mozilla.org/show_bug.cgi?id=1261752
https://bugzilla.mozilla.org/show_bug.cgi?id=1261933
https://bugzilla.mozilla.org/show_bug.cgi?id=1263384
https://bugzilla.mozilla.org/show_bug.cgi?id=1264300
https://bugzilla.mozilla.org/show_bug.cgi?id=1264575
https://bugzilla.mozilla.org/show_bug.cgi?id=1265577
https://bugzilla.mozilla.org/show_bug.cgi?id=1267130
https://bugzilla.mozilla.org/show_bug.cgi?id=1269729
https://bugzilla.mozilla.org/show_bug.cgi?id=1270381
https://bugzilla.mozilla.org/show_bug.cgi?id=1271037
https://bugzilla.mozilla.org/show_bug.cgi?id=1271460
https://bugzilla.mozilla.org/show_bug.cgi?id=1273129
https://bugzilla.mozilla.org/show_bug.cgi?id=1273202
https://bugzilla.mozilla.org/show_bug.cgi?id=1273701
https://bugzilla.mozilla.org/show_bug.cgi?id=908933
https://bugzilla.opensuse.org/show_bug.cgi?id=980384
https://bugzilla.opensuse.org/show_bug.cgi?id=981695
https://bugzilla.opensuse.org/show_bug.cgi?id=983549
https://bugzilla.opensuse.org/show_bug.cgi?id=983632
https://bugzilla.opensuse.org/show_bug.cgi?id=983638
https://bugzilla.opensuse.org/show_bug.cgi?id=983639
https://bugzilla.opensuse.org/show_bug.cgi?id=983640
https://bugzilla.opensuse.org/show_bug.cgi?id=983643
https://bugzilla.opensuse.org/show_bug.cgi?id=983644
https://bugzilla.opensuse.org/show_bug.cgi?id=983646
https://bugzilla.opensuse.org/show_bug.cgi?id=983649
https://bugzilla.opensuse.org/show_bug.cgi?id=983651
https://bugzilla.opensuse.org/show_bug.cgi?id=983652
プラグインの詳細
深刻度: High
ID: 91589
ファイル名: openSUSE-2016-714.nasl
バージョン: 2.10
タイプ: local
エージェント: unix
ファミリー: SuSE Local Security Checks
公開日: 2016/6/14
更新日: 2021/1/19
サポートされているセンサー: Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Nessus
リスク情報
VPR
リスクファクター: High
スコア: 8.9
CVSS v2
リスクファクター: High
基本値: 9.3
現状値: 8.1
ベクトル: CVSS2#AV:N/AC:M/Au:N/C:C/I:C/A:C
CVSS v3
リスクファクター: High
基本値: 8.8
現状値: 8.4
ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
現状ベクトル: CVSS:3.0/E:H/RL:O/RC:C
脆弱性情報
CPE: p-cpe:/a:novell:opensuse:mozillafirefox, p-cpe:/a:novell:opensuse:mozillafirefox-branding-upstream, p-cpe:/a:novell:opensuse:mozillafirefox-buildsymbols, p-cpe:/a:novell:opensuse:mozillafirefox-debuginfo, p-cpe:/a:novell:opensuse:mozillafirefox-debugsource, p-cpe:/a:novell:opensuse:mozillafirefox-devel, p-cpe:/a:novell:opensuse:mozillafirefox-translations-common, p-cpe:/a:novell:opensuse:mozillafirefox-translations-other, p-cpe:/a:novell:opensuse:libfreebl3, p-cpe:/a:novell:opensuse:libfreebl3-32bit, p-cpe:/a:novell:opensuse:libfreebl3-debuginfo, p-cpe:/a:novell:opensuse:libfreebl3-debuginfo-32bit, p-cpe:/a:novell:opensuse:libsoftokn3, p-cpe:/a:novell:opensuse:libsoftokn3-32bit, p-cpe:/a:novell:opensuse:libsoftokn3-debuginfo, p-cpe:/a:novell:opensuse:libsoftokn3-debuginfo-32bit, p-cpe:/a:novell:opensuse:mozilla-nss, p-cpe:/a:novell:opensuse:mozilla-nss-32bit, p-cpe:/a:novell:opensuse:mozilla-nss-certs, p-cpe:/a:novell:opensuse:mozilla-nss-certs-32bit, p-cpe:/a:novell:opensuse:mozilla-nss-certs-debuginfo, p-cpe:/a:novell:opensuse:mozilla-nss-certs-debuginfo-32bit, p-cpe:/a:novell:opensuse:mozilla-nss-debuginfo, p-cpe:/a:novell:opensuse:mozilla-nss-debuginfo-32bit, p-cpe:/a:novell:opensuse:mozilla-nss-debugsource, p-cpe:/a:novell:opensuse:mozilla-nss-devel, p-cpe:/a:novell:opensuse:mozilla-nss-sysinit, p-cpe:/a:novell:opensuse:mozilla-nss-sysinit-32bit, p-cpe:/a:novell:opensuse:mozilla-nss-sysinit-debuginfo, p-cpe:/a:novell:opensuse:mozilla-nss-sysinit-debuginfo-32bit, p-cpe:/a:novell:opensuse:mozilla-nss-tools, p-cpe:/a:novell:opensuse:mozilla-nss-tools-debuginfo, cpe:/o:novell:opensuse:13.1
必要な KB アイテム: Host/local_checks_enabled, Host/SuSE/release, Host/SuSE/rpm-list, Host/cpu
エクスプロイトが利用可能: true
エクスプロイトの容易さ: Exploits are available
パッチ公開日: 2016/6/11
参照情報
CVE: CVE-2016-1950, CVE-2016-2815, CVE-2016-2818, CVE-2016-2819, CVE-2016-2821, CVE-2016-2822, CVE-2016-2824, CVE-2016-2825, CVE-2016-2828, CVE-2016-2829, CVE-2016-2831, CVE-2016-2832, CVE-2016-2833, CVE-2016-2834