openSUSE セキュリティ更新プログラム:MozillaFirefox/mozilla-nss(openSUSE-2016-1128)
critical Nessus プラグイン ID 93732
Language:
概要
リモートのopenSUSEホストに、セキュリティ更新プログラムがありません。説明
MozillaFirefox がバージョン 49.0に更新されました(boo#999701)- 新機能
- Firefox ログインマネージャを更新し、保存した HTTP ログインを HTTPS ページで使用できるようにしました。
- リーダーモードに、目と耳でわかりやすい機能を追加しました
- ハードウェアアクセラレーションのない SSE3 をサポートするシステム上のユーザーに対するビデオパフォーマンスを改善しました
- HTML5 オーディオおよびビデオにコンテキストメニューコントロールを追加し、ユーザーが 1.25x速度でファイルをループまたは再生できるようにしました
- 下記に関する改善: フォントメモリ使用率を追跡するためのメモリレポート
- セキュリティ関連の修正:
- MFSA 2016-85CVE-2016-2827 (bmo#1289085) - mozilla における領域外読み取り: : net:: IsValidReferrerPolicy CVE-2016-5270(bmo#1291016) - nsCaseTransformTextRunFactory におけるヒープバッファオーバーフロー: : TransformString CVE-2016-5271(bmo#1288946) - PropertyProvider における領域外読み取り: : GetSpacingInternal CVE-2016-5272(bmo#1297934) - nsImageGeometryMixin CVE-2016-5273の不適切なキャスト (bmo#1280387) - mozilla のクラッシュ: : a11y: : HyperTextAccessible: : GetChildOffset CVE-2016-5276(bmo#1287721) - mozilla におけるヒープメモリ解放後使用: : a11y: : DocAccessible:: ProcessInvalidationList CVE-2016-5274(bmo#1282076) - nsFrameManager のメモリ解放後使用 (Use-After-Free): : CaptureFrameState CVE-2016-5277(bmo#1291665) - nsRefreshDriver のヒープメモリ解放後使用: : Tick CVE-2016-5275(bmo#1287316) - mozilla のグローバルバッファオーバーフロー: : gfx: : FilterSupport: : ComputeSourceNeededRegions CVE-2016-5278(bmo#1294677) - nsBMPEncoder のヒープバッファオーバーフロー: : AddImageFrame CVE-2016-5279(bmo#1249522)
- ドラッグアンドドロップ後に Web ページに対するファイルのフルローカルパスが利用可能 CVE-2016-5280(bmo#1289970) - mozilla のメモリ解放後使用 (Use-After-Free): : nsTextNodeDirectionalityMap: : RemoveElementFromM ap CVE-2016-5281(bmo#1284690) - DOMSVGLength のメモリ解放後使用 (Use-After-Free) CVE-2016-5282(bmo#932335) - ホワイトリストに登録されていないスキームからコンテンツがファビコンをリクエストすることを許可しない CVE-2016-5283(bmo#928187) - <iframe src>フラグメントタイミング攻撃により明らかになる可能性があるクロスオリジンデータ CVE-2016-5284(bmo#1303127) - アドオン更新サイト証明書のピンの失効 CVE-2016-5256- Firefox 49で修正されたメモリ安全性のバグ CVE-2016-5257- Firefox 49およびFirefox ESRで修正されたメモリ安全性のバグ 45.4
- NSS 3.25が必要
- Mozilla Firefox 48.0.2:
- Windowsで発生するスタートアップクラッシュの問題を緩和します(bmo#1291738)
mozilla-nssがNSS 3.25に更新されました。新しい機能:
- TLS 1.3用にDHEキーの承諾を実装しました
- TLS 1.3によるChaChaのサポートを追加しました
- SHA384をPRFとしてを使用するTLS 1.2暗号スイートのサポートを追加しました
- 以前のバージョンでは、TLS 1.2でクライアント認証を使用している場合に、NSSがPRFで使用されているものと同じ署名ハッシュアルゴリズムを使用する、certificate_verifyメッセージのみをサポートしていました。この制限が削除されました。
- NSS Cryptoki Framework のパブリック API にいくつかの関数が追加されました。新しい関数 :
- NSSCKFWSlot_GetSlotID
- NSSCKFWSession_GetFWSlot
- NSSCKFWInstance_DestroySessionHandle
- NSSCKFWInstance_FindSessionHandle 重要な変更:
- SSLソケットは、TLS 1.3とSSLv3の両方を許可するように構成できなくなりました。
- 回帰の修正:アプリケーションがSSLv2プロトコルの無効化を試みた場合に、NSSが失敗を報告しなくなりました。
- 信頼できるCA証明書のリストがバージョン2.8に更新されました
- 次の CA 証明書が削除されました:Sonera Class1 CA
- 次のCA証明書が追加されました:Hellenic Academic and Research Instruments RootCA 2015 Hellenic Academic and Research Instruments ECC RootCA 2015 Certplus Root CA G1 Certplus Root CA G2 OpenTrust Root CA G1 OpenTrust Root CA G2 OpenTrust Root CA G3
ソリューション
影響を受ける MozillaFirefox または mozilla-nss パッケージを更新してください。参考資料
https://bugzilla.mozilla.org/show_bug.cgi?id=1249522
https://bugzilla.mozilla.org/show_bug.cgi?id=1280387
https://bugzilla.mozilla.org/show_bug.cgi?id=1282076
https://bugzilla.mozilla.org/show_bug.cgi?id=1284690
https://bugzilla.mozilla.org/show_bug.cgi?id=1287316
https://bugzilla.mozilla.org/show_bug.cgi?id=1287721
https://bugzilla.mozilla.org/show_bug.cgi?id=1288946
https://bugzilla.mozilla.org/show_bug.cgi?id=1289085
https://bugzilla.mozilla.org/show_bug.cgi?id=1289970
https://bugzilla.mozilla.org/show_bug.cgi?id=1291016
https://bugzilla.mozilla.org/show_bug.cgi?id=1291665
https://bugzilla.mozilla.org/show_bug.cgi?id=1291738
https://bugzilla.mozilla.org/show_bug.cgi?id=1294677
https://bugzilla.mozilla.org/show_bug.cgi?id=1297934
https://bugzilla.mozilla.org/show_bug.cgi?id=1303127
https://bugzilla.mozilla.org/show_bug.cgi?id=1304114
https://bugzilla.mozilla.org/show_bug.cgi?id=1304783
https://bugzilla.mozilla.org/show_bug.cgi?id=928187
プラグインの詳細
深刻度: Critical
ID: 93732
ファイル名: openSUSE-2016-1128.nasl
バージョン: 2.7
タイプ: local
エージェント: unix
ファミリー: SuSE Local Security Checks
公開日: 2016/9/27
更新日: 2021/1/19
サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 6.0
CVSS v2
リスクファクター: High
基本値: 7.5
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P
CVSS v3
リスクファクター: Critical
基本値: 9.8
ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
脆弱性情報
CPE: p-cpe:/a:novell:opensuse:mozillafirefox, p-cpe:/a:novell:opensuse:mozillafirefox-branding-upstream, p-cpe:/a:novell:opensuse:mozillafirefox-buildsymbols, p-cpe:/a:novell:opensuse:mozillafirefox-debuginfo, p-cpe:/a:novell:opensuse:mozillafirefox-debugsource, p-cpe:/a:novell:opensuse:mozillafirefox-devel, p-cpe:/a:novell:opensuse:mozillafirefox-translations-common, p-cpe:/a:novell:opensuse:mozillafirefox-translations-other, p-cpe:/a:novell:opensuse:libfreebl3, p-cpe:/a:novell:opensuse:libfreebl3-32bit, p-cpe:/a:novell:opensuse:libfreebl3-debuginfo, p-cpe:/a:novell:opensuse:libfreebl3-debuginfo-32bit, p-cpe:/a:novell:opensuse:libsoftokn3, p-cpe:/a:novell:opensuse:libsoftokn3-32bit, p-cpe:/a:novell:opensuse:libsoftokn3-debuginfo, p-cpe:/a:novell:opensuse:libsoftokn3-debuginfo-32bit, p-cpe:/a:novell:opensuse:mozilla-nss, p-cpe:/a:novell:opensuse:mozilla-nss-32bit, p-cpe:/a:novell:opensuse:mozilla-nss-certs, p-cpe:/a:novell:opensuse:mozilla-nss-certs-32bit, p-cpe:/a:novell:opensuse:mozilla-nss-certs-debuginfo, p-cpe:/a:novell:opensuse:mozilla-nss-certs-debuginfo-32bit, p-cpe:/a:novell:opensuse:mozilla-nss-debuginfo, p-cpe:/a:novell:opensuse:mozilla-nss-debuginfo-32bit, p-cpe:/a:novell:opensuse:mozilla-nss-debugsource, p-cpe:/a:novell:opensuse:mozilla-nss-devel, p-cpe:/a:novell:opensuse:mozilla-nss-sysinit, p-cpe:/a:novell:opensuse:mozilla-nss-sysinit-32bit, p-cpe:/a:novell:opensuse:mozilla-nss-sysinit-debuginfo, p-cpe:/a:novell:opensuse:mozilla-nss-sysinit-debuginfo-32bit, p-cpe:/a:novell:opensuse:mozilla-nss-tools, p-cpe:/a:novell:opensuse:mozilla-nss-tools-debuginfo, cpe:/o:novell:opensuse:13.1
必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list
パッチ公開日: 2016/9/26
参照情報
CVE: CVE-2016-2827, CVE-2016-5256, CVE-2016-5257, CVE-2016-5270, CVE-2016-5271, CVE-2016-5272, CVE-2016-5273, CVE-2016-5274, CVE-2016-5275, CVE-2016-5276, CVE-2016-5277, CVE-2016-5278, CVE-2016-5279, CVE-2016-5280, CVE-2016-5281, CVE-2016-5282, CVE-2016-5283, CVE-2016-5284