openSUSEセキュリティ更新プログラム:MozillaFirefox(openSUSE-2017-187)

critical Nessus プラグイン ID 96940

Language:

概要

リモートのopenSUSEホストに、セキュリティ更新プログラムがありません。

説明

このMozillaFirefoxのバージョン51.0.1への更新では、セキュリティの問題とバグが修正されます。

これらのセキュリティの問題が修正されました:

- CVE-2017-5375:過剰なJITコード割り当てにより、ASLRとDEPのバイパスが可能になります(bmo#1325200、boo#1021814)

- CVE-2017-5376:XSLにおけるメモリ解放後使用(Use After Free)(bmo#1311687、boo#1021817)CVE-2017-5377:Skiaでグラデーションを作成するための変換によるメモリ破損(bmo#1306883、boo#1021826)

- CVE-2017-5378:JavaScriptオブジェクトのポインターとフレームのデータ漏洩(bmo#1312001、bmo#1330769、boo#1021818)

- CVE-2017-5379:Webアニメーションでのメモリ解放後使用(Use After Free)(bmo#1309198、boo#1021827)

- CVE-2017-5380:DOM操作中のメモリ解放後使用(Use After Free)の可能性(bmo#1322107、boo#1021819)

- CVE-2017-5390:Developer Tools JSONビューアーでの安全でない通信方法(bmo#1297361、boo#1021820)

- CVE-2017-5389:WebExtensionが、変更されたホストリクエストを介して追加のアドオンをインストールできます(bmo#1308688、boo#1021828)

- CVE-2017-5396:Media Decoderでのメモリ解放後使用(Use After Free)(bmo#1329403、boo#1021821)

- CVE-2017-5381:Certificate Viewerのエクスポートは、任意のファイルシステムの場所への移動および保存に使用できます(bmo#1017616、boo#1021830)

- CVE-2017-5382:フィードプレビューにより、権限のあるコンテンツのエラーや例外が公開される可能性があります(bmo#1295322、boo#1021831)

- CVE-2017-5383:Unicode文字によるロケーションバースプーフィング(bmo#1323338、bmo#1324716、boo#1021822)

- CVE-2017-5384:Proxy Auto-Config(PAC)を介した情報漏洩(bmo#1255474、boo#1021832)

- CVE-2017-5385:マルチパートチャネルで送信されたデータが、referrer-policy応答ヘッダーを無視します(bmo#1295945、boo#1021833)

- CVE-2017-5386:WebExtensionはdata: protocolを使用して他の拡張機能に影響を与える可能性があります(bmo#1319070、boo#1021823)

- CVE-2017-5391:コンテンツのabout: ページは権限のあるabout: ページをロードできます(bmo#1309310、boo#1021835)

- CVE-2017-5393:mozAddonManagerのホワイトリストからaddons.mozilla.org CDNを削除します(bmo#1309282、boo#1021837)

- CVE-2017-5387:TRACKタグエラーメッセージによるローカルファイルの存在の漏洩(bmo#1295023、boo#1021839)

- CVE-2017-5388:WebRTCを使用して、DDOS攻撃のために大量のUDPトラフィックを生成できます(bmo#1281482、boo#1021840)

- CVE-2017-5374:メモリの安全性に関するバグ(boo#1021841)

- CVE-2017-5373:メモリの安全性に関するバグ(boo#1021824)

MozillaFirefoxの次のセキュリティ以外の問題が修正されました:

- FLAC(Free Lossless Audio Codec)再生のサポートを追加しました

- WebGL 2のサポートを追加しました

- ジョージア語(ka)およびカビール語(kab)ロケールを追加しました

-「submit」イベントのないフォームのパスワード保存をサポートします

- GPUアクセラレーションなしでのユーザーのビデオパフォーマンスを改善しました

- ズームレベルがデフォルトレベルでない場合に、ズームインジケーターがURLバーに表示されます

- パスワードを保存する前にプロンプトからパスワードを表示します

- ベラルーシ語(be)ロケールを削除します

- コンテンツのレンダリングにSkiaを使用します(Linux)

- LANGUAGE環境変数の認識を改善します(boo#1017174)

- 一部のアドオンではマルチプロセスの非互換性が正しく登録されませんでした(bmo#1333423)

ソリューション

影響を受けた MozillaFirefox パッケージを更新してください。

参考資料

https://bugzilla.opensuse.org/show_bug.cgi?id=1017174

https://bugzilla.opensuse.org/show_bug.cgi?id=1021814

https://bugzilla.opensuse.org/show_bug.cgi?id=1021817

https://bugzilla.opensuse.org/show_bug.cgi?id=1021818

https://bugzilla.opensuse.org/show_bug.cgi?id=1021819

https://bugzilla.opensuse.org/show_bug.cgi?id=1021820

https://bugzilla.opensuse.org/show_bug.cgi?id=1021821

https://bugzilla.opensuse.org/show_bug.cgi?id=1021822

https://bugzilla.opensuse.org/show_bug.cgi?id=1021823

https://bugzilla.opensuse.org/show_bug.cgi?id=1021824

https://bugzilla.opensuse.org/show_bug.cgi?id=1021826

https://bugzilla.opensuse.org/show_bug.cgi?id=1021827

https://bugzilla.opensuse.org/show_bug.cgi?id=1021828

https://bugzilla.opensuse.org/show_bug.cgi?id=1021830

https://bugzilla.opensuse.org/show_bug.cgi?id=1021831

https://bugzilla.opensuse.org/show_bug.cgi?id=1021832

https://bugzilla.opensuse.org/show_bug.cgi?id=1021833

https://bugzilla.opensuse.org/show_bug.cgi?id=1021835

https://bugzilla.opensuse.org/show_bug.cgi?id=1021837

https://bugzilla.opensuse.org/show_bug.cgi?id=1021839

https://bugzilla.opensuse.org/show_bug.cgi?id=1021840

https://bugzilla.opensuse.org/show_bug.cgi?id=1021841

プラグインの詳細

深刻度: Critical

ID: 96940

ファイル名: openSUSE-2017-187.nasl

バージョン: 3.9

タイプ: local

エージェント: unix

公開日: 2017/2/2

更新日: 2021/1/19

サポートされているセンサー: Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Critical

スコア: 9.7

CVSS v2

リスクファクター: High

Base Score: 7.5

Temporal Score: 6.5

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P

CVSS v3

リスクファクター: Critical

Base Score: 9.8

Temporal Score: 9.4

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

現状ベクトル: CVSS:3.0/E:H/RL:O/RC:C

脆弱性情報

CPE: p-cpe:/a:novell:opensuse:mozillafirefox, p-cpe:/a:novell:opensuse:mozillafirefox-branding-upstream, p-cpe:/a:novell:opensuse:mozillafirefox-buildsymbols, p-cpe:/a:novell:opensuse:mozillafirefox-debuginfo, p-cpe:/a:novell:opensuse:mozillafirefox-debugsource, p-cpe:/a:novell:opensuse:mozillafirefox-devel, p-cpe:/a:novell:opensuse:mozillafirefox-translations-common, p-cpe:/a:novell:opensuse:mozillafirefox-translations-other, cpe:/o:novell:opensuse:42.1, cpe:/o:novell:opensuse:42.2

必要な KB アイテム: Host/local_checks_enabled, Host/SuSE/release, Host/SuSE/rpm-list, Host/cpu

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2017/2/1

脆弱性公開日: 2018/6/11

参照情報

CVE: CVE-2017-5373, CVE-2017-5374, CVE-2017-5375, CVE-2017-5376, CVE-2017-5377, CVE-2017-5378, CVE-2017-5379, CVE-2017-5380, CVE-2017-5381, CVE-2017-5382, CVE-2017-5383, CVE-2017-5384, CVE-2017-5385, CVE-2017-5386, CVE-2017-5387, CVE-2017-5388, CVE-2017-5389, CVE-2017-5390, CVE-2017-5391, CVE-2017-5392, CVE-2017-5393, CVE-2017-5394, CVE-2017-5395, CVE-2017-5396