検出

openSUSEセキュリティ更新プログラム:MozillaThunderbird(openSUSE-2017-188)

critical Nessus プラグイン ID 96941

Language:

概要

リモートのopenSUSEホストに、セキュリティ更新プログラムがありません。

説明

このMozilla Thunderbird 45.7.0への更新により、セキュリティ問題とバグが修正されています。

アドバイザリMFSA 2017-03にある次のセキュリティ問が修正されました(boo#1021991)。一般的に、Thunderbirdではメールを読み込む際のスクリプティングが無効になっているため、電子メールを通じてこれらの欠陥を悪用することはできません。ただし、ブラウザまたはブラウザ型のコンテキストにおいては潜在的なリスクとなります。

 - CVE-2017-5375:過剰なJITコード割り当てにより、ASLRとDEPのバイパスが可能になります(boo#1021814)

 - CVE-2017-5376:XSLにおけるメモリ解放後使用(Use After Free)(boo#1021817)

 - CVE-2017-5378:JavaScriptオブジェクトのポインターとフレームのデータ漏洩(boo#1021818)

 - CVE-2017-5380:DOM操作中のメモリ解放後使用(Use After Free)の可能性(boo#1021819)

 - CVE-2017-5390:Developer Tools JSONビューアーでの安全でない通信方法(boo#1021820)

 - CVE-2017-5396:Media Decoderでのメモリ解放後使用(Use After Free)(boo#1021821)

 - CVE-2017-5383:Unicode文字によるロケーションバースプーフィング(boo#1021822)

 - CVE-2017-5373:Thunderbird 45.7で修正されたメモリ安全性に関するバグ(boo#1021824)

以下の非セキュリティ問題が修正されました。

 - IMAPフォルダーの名前の変更または移動後にメッセージプレビューペインが機能しません

 -「Search Messages」パネルの「Move To」ボタンが機能しません

 -「undisclosed recipients」に送信されたメッセージに受信者が表示されません(Thunderbirdバージョン38以降は機能しません)

ソリューション

影響を受けるMozillaThunderbirdパッケージを更新してください。

参考資料

https://bugzilla.opensuse.org/show_bug.cgi?id=1021814

https://bugzilla.opensuse.org/show_bug.cgi?id=1021817

https://bugzilla.opensuse.org/show_bug.cgi?id=1021818

https://bugzilla.opensuse.org/show_bug.cgi?id=1021819

https://bugzilla.opensuse.org/show_bug.cgi?id=1021820

https://bugzilla.opensuse.org/show_bug.cgi?id=1021821

https://bugzilla.opensuse.org/show_bug.cgi?id=1021822

https://bugzilla.opensuse.org/show_bug.cgi?id=1021824

https://bugzilla.opensuse.org/show_bug.cgi?id=1021991

プラグインの詳細

深刻度: Critical

ID: 96941

ファイル名: openSUSE-2017-188.nasl

バージョン: 3.9

タイプ: local

エージェント: unix

公開日: 2017/2/2

更新日: 2021/1/19

サポートされているセンサー: Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Critical

スコア: 9.7

CVSS v2

リスクファクター: High

基本値: 7.5

現状値: 6.5

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P

CVSS v3

リスクファクター: Critical

基本値: 9.8

現状値: 9.4

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

現状ベクトル: CVSS:3.0/E:H/RL:O/RC:C

脆弱性情報

CPE: p-cpe:/a:novell:opensuse:mozillathunderbird, p-cpe:/a:novell:opensuse:mozillathunderbird-buildsymbols, p-cpe:/a:novell:opensuse:mozillathunderbird-debuginfo, p-cpe:/a:novell:opensuse:mozillathunderbird-debugsource, p-cpe:/a:novell:opensuse:mozillathunderbird-devel, p-cpe:/a:novell:opensuse:mozillathunderbird-translations-common, p-cpe:/a:novell:opensuse:mozillathunderbird-translations-other, cpe:/o:novell:opensuse:42.1, cpe:/o:novell:opensuse:42.2

必要な KB アイテム: Host/local_checks_enabled, Host/SuSE/release, Host/SuSE/rpm-list, Host/cpu

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2017/2/1

脆弱性公開日: 2018/6/11

参照情報

CVE: CVE-2017-5373, CVE-2017-5375, CVE-2017-5376, CVE-2017-5378, CVE-2017-5380, CVE-2017-5383, CVE-2017-5390, CVE-2017-5396