检测

openSUSE 安全更新:Mozilla Firefox 及其他 (openSUSE-SU-2013:0630-1)

critical Nessus 插件 ID 74965

语言:

简介

远程 openSUSE 主机缺少安全更新。

描述

Mozilla 套件接收到安全和缺陷补丁更新:

Mozilla Firefox 更新到了版本 20.0。Mozilla Thunderbird 已更新到 17.0.5 版。Mozilla SeaMonkey 已更新到版本 17.0.5。Mozilla XULRunner 已更新到版本 17.0.5。mozilla-nss 已更新到版本 3.14.3。mozilla-nspr 已更新到版本 4.9.6。

mozilla-nspr 已更新到版本 4.9.6:

- aarch64 支持

- 添加了 PL_SizeOfArenaPoolExcludingPool 函数 (bmo#807883)

- 自动检测 x86 的 android api 版本 (bmo#782214)

- 在无调试信息的情况下通过非零旋转计数初始化 Windows CRITICAL_SECTION (bmo#812085) 以前的版本 4.9.5 更新

- bmo#634793:定义 NSPR 的 exact-width 整数类型 PRInt{N} 和 PRUint{N} 类型以匹配 <stdint.h> exact-width 整数类型 int{N}_t 和 uint{N}_t。

- bmo#782815:将“int *”传递到 setsockopt() 中“unsigned int *”类型的参数。

- bmo#822932:将 bmo#802527(x86 的 NDK r8b 支持)移植到 NSPR。

- bmo#824742:NSPR 不应要求 Android 上的 librt。

- bmo#831793:PR_UnloadLibrary 中 lib->refCount 上的数据争用。

mozilla-nss 已更新到版本 3.14.3:

- 禁用包含过期证书的测试

- 使用来自 mozilla 树的修补程序添加 SEC_PKCS7VerifyDetachedSignatureAtTime 以满足 Firefox 21 要求

- 此版本中未引入任何新的主要功能。此版本是用于解决 CVE-2013-1620 的修补程序版本 (bmo#822365)

- “certutil -a”未正确按照请求生成 ASCII 输出。(bmo#840714)

- NSS 3.14.2 破坏了通过缺少 SQLITE_FCNTL_TEMPFILENAME 文件控制的较旧版本的 sqlite 进行的编译。NSS 3.14.3 现在会在使用较旧版本的 sqlite 时正确编译 (bmo#837799) - 删除 system-sqlite.patch

- 添加 arm aarch64 支持

- 添加了 system-sqlite.patch (bmo#837799)

- 不仅仅为了 #define 依赖最新的 sqlite

- 再次启用系统 sqlite 使用情况

- 更新到 3.14.2

- Firefox >= 20 所需

- 删除了过时的 nssckbi 更新修补程序

- MFSA 2013-40/CVE-2013-0791 (bmo#629816) CERT_DecodeCertPackage 中的越界数组读取

- 禁用系统 sqlite 使用情况,因为我们依赖任何 openSUSE 发行版本中都未提供的 3.7.15

- 添加 nss-sqlitename.patch 以避免任何名称冲突

MozillaFirefox 中的更改:

- 更新到 Firefox 20.0 (bnc#813026)

- 需要 NSPR 4.9.5 和 NSS 3.14.3

- MFSA 2013-30/CVE-2013-0788/CVE-2013-0789 多项内存安全危害

- MFSA 2013-31/CVE-2013-0800 (bmo#825721) Cairo 库中存在越界写入

- MFSA 2013-35/CVE-2013-0796 (bmo#827106) 使用 Linux 上的 Mesa 图形驱动程序时,WebGL 发生崩溃

- MFSA 2013-36/CVE-2013-0795 (bmo#825697) 绕过 SOW 保护可克隆受保护的节点

- MFSA 2013-37/CVE-2013-0794 (bmo#626775) 绕过 tab-modal 对话框来源泄露

- MFSA 2013-38/CVE-2013-0793 (bmo#803870) 通过定时历史记录导航发起跨站脚本 (XSS) 攻击

- MFSA 2013-39/CVE-2013-0792 (bmo#722831) 渲染灰度 PNG 图像时内存损坏

- 使用从 12.3 开始的 GStreamer 1.0 (mozilla-gstreamer-1.patch)

- 针对 armv7hl 的版本补丁:

- 禁用调试版本,因为 armv7hl 没有足够内存

- 禁用 armv7hl 上的 webrtc,因为它不会编译

MozillaThunderbird 中的更改:

- 更新到 Thunderbird 17.0.5 (bnc#813026)

- 需要 NSPR 4.9.5 和 NSS 3.14.3

- MFSA 2013-30/CVE-2013-0788/CVE-2013-0789 多项内存安全危害

- MFSA 2013-31/CVE-2013-0800 (bmo#825721) Cairo 库中存在越界写入

- MFSA 2013-35/CVE-2013-0796 (bmo#827106) 使用 Linux 上的 Mesa 图形驱动程序时,WebGL 发生崩溃

- MFSA 2013-36/CVE-2013-0795 (bmo#825697) 绕过 SOW 保护可克隆受保护的节点

- MFSA 2013-38/CVE-2013-0793 (bmo#803870) 通过定时历史记录导航发起跨站脚本 (XSS) 攻击

seamonkey 中的更改:

- 更新到 SeaMonkey 2.17 (bnc#813026)

- 需要 NSPR 4.9.5 和 NSS 3.14.3

- MFSA 2013-30/CVE-2013-0788/CVE-2013-0789 多项内存安全危害

- MFSA 2013-31/CVE-2013-0800 (bmo#825721) Cairo 库中存在越界写入

- MFSA 2013-35/CVE-2013-0796 (bmo#827106) 使用 Linux 上的 Mesa 图形驱动程序时,WebGL 发生崩溃

- MFSA 2013-36/CVE-2013-0795 (bmo#825697) 绕过 SOW 保护可克隆受保护的节点

- MFSA 2013-37/CVE-2013-0794 (bmo#626775) 绕过 tab-modal 对话框来源泄露

- MFSA 2013-38/CVE-2013-0793 (bmo#803870) 通过定时历史记录导航发起跨站脚本 (XSS) 攻击

- MFSA 2013-39/CVE-2013-0792 (bmo#722831) 渲染灰度 PNG 图像时内存损坏

- 使用从 12.3 开始的 GStreamer 1.0 (mozilla-gstreamer-1.patch)

XULRunner 中的更改:

- 更新到 17.0.5esr (bnc#813026)

- 需要 NSPR 4.9.5 和 NSS 3.14.3

- MFSA 2013-30/CVE-2013-0788 多项内存安全危害

- MFSA 2013-31/CVE-2013-0800 (bmo#825721) Cairo 库中存在越界写入

- MFSA 2013-35/CVE-2013-0796 (bmo#827106) 使用 Linux 上的 Mesa 图形驱动程序时,WebGL 发生崩溃

- MFSA 2013-36/CVE-2013-0795 (bmo#825697) 绕过 SOW 保护可克隆受保护的节点

- MFSA 2013-37/CVE-2013-0794 (bmo#626775) 绕过 tab-modal 对话框来源泄露

- MFSA 2013-38/CVE-2013-0793 (bmo#803870) 通过定时历史记录导航发起跨站脚本 (XSS) 攻击

解决方案

更新受影响的 Mozilla Firefox 和其他程序包。

另见

https://bugzilla.novell.com/show_bug.cgi?id=813026

https://lists.opensuse.org/opensuse-updates/2013-04/msg00047.html

插件详情

严重性: Critical

ID: 74965

文件名: openSUSE-2013-309.nasl

版本: 1.8

类型: local

代理: unix

发布时间: 2014/6/13

最近更新时间: 2021/1/19

支持的传感器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Nessus

风险信息

VPR

风险因素: Medium

分数: 6.7

CVSS v2

风险因素: Critical

基本分数: 10

时间分数: 7.4

矢量: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

漏洞信息

CPE: p-cpe:/a:novell:opensuse:mozillafirefox, p-cpe:/a:novell:opensuse:mozillafirefox-branding-upstream, p-cpe:/a:novell:opensuse:mozillafirefox-buildsymbols, p-cpe:/a:novell:opensuse:mozillafirefox-debuginfo, p-cpe:/a:novell:opensuse:mozillafirefox-debugsource, p-cpe:/a:novell:opensuse:mozillafirefox-devel, p-cpe:/a:novell:opensuse:mozillafirefox-translations-common, p-cpe:/a:novell:opensuse:mozillafirefox-translations-other, p-cpe:/a:novell:opensuse:mozillathunderbird, p-cpe:/a:novell:opensuse:mozillathunderbird-buildsymbols, p-cpe:/a:novell:opensuse:mozillathunderbird-debuginfo, p-cpe:/a:novell:opensuse:mozillathunderbird-debugsource, p-cpe:/a:novell:opensuse:mozillathunderbird-devel, p-cpe:/a:novell:opensuse:mozillathunderbird-devel-debuginfo, p-cpe:/a:novell:opensuse:mozillathunderbird-translations-common, p-cpe:/a:novell:opensuse:mozillathunderbird-translations-other, p-cpe:/a:novell:opensuse:enigmail, p-cpe:/a:novell:opensuse:enigmail-debuginfo, p-cpe:/a:novell:opensuse:libfreebl3, p-cpe:/a:novell:opensuse:libfreebl3-32bit, p-cpe:/a:novell:opensuse:libfreebl3-debuginfo, p-cpe:/a:novell:opensuse:libfreebl3-debuginfo-32bit, p-cpe:/a:novell:opensuse:libsoftokn3, p-cpe:/a:novell:opensuse:libsoftokn3-32bit, p-cpe:/a:novell:opensuse:libsoftokn3-debuginfo, p-cpe:/a:novell:opensuse:libsoftokn3-debuginfo-32bit, p-cpe:/a:novell:opensuse:mozilla-js, p-cpe:/a:novell:opensuse:mozilla-js-32bit, p-cpe:/a:novell:opensuse:mozilla-js-debuginfo, p-cpe:/a:novell:opensuse:mozilla-js-debuginfo-32bit, p-cpe:/a:novell:opensuse:mozilla-nspr, p-cpe:/a:novell:opensuse:mozilla-nspr-32bit, p-cpe:/a:novell:opensuse:mozilla-nspr-debuginfo, p-cpe:/a:novell:opensuse:mozilla-nspr-debuginfo-32bit, p-cpe:/a:novell:opensuse:mozilla-nspr-debugsource, p-cpe:/a:novell:opensuse:mozilla-nspr-devel, p-cpe:/a:novell:opensuse:mozilla-nss, p-cpe:/a:novell:opensuse:mozilla-nss-32bit, p-cpe:/a:novell:opensuse:mozilla-nss-certs, p-cpe:/a:novell:opensuse:mozilla-nss-certs-32bit, p-cpe:/a:novell:opensuse:mozilla-nss-certs-debuginfo, p-cpe:/a:novell:opensuse:mozilla-nss-certs-debuginfo-32bit, p-cpe:/a:novell:opensuse:mozilla-nss-debuginfo, p-cpe:/a:novell:opensuse:mozilla-nss-debuginfo-32bit, p-cpe:/a:novell:opensuse:mozilla-nss-debugsource, p-cpe:/a:novell:opensuse:mozilla-nss-devel, p-cpe:/a:novell:opensuse:mozilla-nss-sysinit, p-cpe:/a:novell:opensuse:mozilla-nss-sysinit-32bit, p-cpe:/a:novell:opensuse:mozilla-nss-sysinit-debuginfo, p-cpe:/a:novell:opensuse:mozilla-nss-sysinit-debuginfo-32bit, p-cpe:/a:novell:opensuse:mozilla-nss-tools, p-cpe:/a:novell:opensuse:mozilla-nss-tools-debuginfo, p-cpe:/a:novell:opensuse:seamonkey, p-cpe:/a:novell:opensuse:seamonkey-debuginfo, p-cpe:/a:novell:opensuse:seamonkey-debugsource, p-cpe:/a:novell:opensuse:seamonkey-dom-inspector, p-cpe:/a:novell:opensuse:seamonkey-irc, p-cpe:/a:novell:opensuse:seamonkey-translations-common, p-cpe:/a:novell:opensuse:seamonkey-translations-other, p-cpe:/a:novell:opensuse:seamonkey-venkman, p-cpe:/a:novell:opensuse:xulrunner, p-cpe:/a:novell:opensuse:xulrunner-32bit, p-cpe:/a:novell:opensuse:xulrunner-buildsymbols, p-cpe:/a:novell:opensuse:xulrunner-debuginfo, p-cpe:/a:novell:opensuse:xulrunner-debuginfo-32bit, p-cpe:/a:novell:opensuse:xulrunner-debugsource, p-cpe:/a:novell:opensuse:xulrunner-devel, p-cpe:/a:novell:opensuse:xulrunner-devel-debuginfo, cpe:/o:novell:opensuse:12.1, cpe:/o:novell:opensuse:12.2, cpe:/o:novell:opensuse:12.3

必需的 KB 项: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list

易利用性: No known exploits are available

补丁发布日期: 2013/4/4

漏洞发布日期: 2013/2/8

参考资料信息

CVE: CVE-2013-0788, CVE-2013-0789, CVE-2013-0791, CVE-2013-0792, CVE-2013-0793, CVE-2013-0794, CVE-2013-0795, CVE-2013-0796, CVE-2013-0800, CVE-2013-1620