检测

openSUSE 安全更新:chromium (openSUSE-SU-2013:1556-1)

high Nessus 插件 ID 75170

语言:

简介

远程 openSUSE 主机缺少安全更新。

描述

更新到 Chromium 30.0.1599.66:

- 更简单地按图像搜索

- 一些新的应用/扩展 API

- 许多旨在提高稳定性和性能的隐蔽更改

- 安全补丁:

+ CVE-2013-2906:Web 音频中的争用

+ CVE-2013-2907:Window.prototype 对象中的越界读取

+ CVE-2013-2908:与“204 No Content”状态代码相关的地址栏欺骗

+ CVE-2013-2909:内联区块渲染中的释放后使用

+ CVE-2013-2910:Web 音频中的释放后使用

+ CVE-2013-2911:XSLT 中的释放后使用

+ CVE-2013-2912:PPAPI 中的释放后使用

+ CVE-2013-2913:XML 文档解析中的释放后使用

+ CVE-2013-2914:Windows 颜色选择器对话框中的释放后使用

+ CVE-2013-2915:通过畸形方案进行地址栏欺骗

+ CVE-2013-2916:与“204 No Content”状态代码相关的地址栏欺骗

+ CVE-2013-2917:Web 音频中的越界读取

+ CVE-2013-2918:DOM 中的释放后使用

+ CVE-2013-2919:V8 中的内存损坏

+ CVE-2013-2920:URL 解析中的越界读取

+ CVE-2013-2921:资源加载程序中的释放后使用

+ CVE-2013-2922:模板元素中的释放后使用

+ CVE-2013-2923:通过内部审计、模糊测试和其他计划获得的各种补丁

+ CVE-2013-2924:ICU 中的释放后使用。上游缺陷

- 添加修补程序 chromium-fix-altgrkeys.diff

- 确保正确处理 AltGr (issue#296835)

- 不通过 libxml 进行构建 (bnc#825157)

- 更新到 Chromium 31.0.1640.0

- 缺陷和稳定性补丁

- 通过从图标中删除扩展来修复 chromium 的桌面文件

- 更改用于 Chromium 程序包的方法。现在基于官方 tarball 进行构建。Beta 通道匹配当前版本时,Chromium 将基于 Beta 通道而非 svn 快照

- 更新到 31.0.1632

- 缺陷和稳定性补丁

- 向启动脚本中添加了标记 --enable-threaded-compositing使用硬件加速时似乎需要此标记。这样会在某些情况下阻止网站锁定用户。

- 更新到 31.0.1627

- 缺陷和稳定性补丁

- 更新到 31.0.1619

- 缺陷和稳定性补丁

- 需要 mozilla-nss-devel >= 3.14 和 mozilla-nspr-devel >= 4.9.5

- 添加修补程序 exclude_ymp.diff 以确保下载 1-click-install 文件但并不打开 (bnc#836059)

- 更新到 31.0.1611

- 缺陷和稳定性补丁

- 更新到 31.0.1605

- 缺陷和稳定性补丁

- 更新启动脚本以便 Chromium 在 chrome_sandbox 没有 SETUID 时不会启动。
 (bnc#779448)

- 更新到 31.0.1601

- 缺陷和稳定性补丁

- 更新到 30.0.1594

- 缺陷和稳定性补丁

- 修正 specfile 以正确拥有 /usr/bin/chromium (bnc#831584)

- Chromium 现在预期 SUID-helper 安装于和 chromium 相同的目录中。因此让我们创建指向 /usr/lib 中的帮助程序的符号链接。

- 更新到 30.0.1587

- 缺陷和稳定性补丁

- 删除修补程序 chromium-nss-compliant.diff(上游)

- 更新到 30.0.1575

- 缺陷和稳定性补丁

- 因上游补丁而再次启用 gpu-sandbox (chromium#255063)

- 更新到 30.0.1567

- 缺陷和稳定性补丁

解决方案

更新受影响的 chromium 程序包。

另见

https://bugzilla.novell.com/show_bug.cgi?id=779448

https://bugzilla.novell.com/show_bug.cgi?id=825157

https://bugzilla.novell.com/show_bug.cgi?id=831584

https://bugzilla.novell.com/show_bug.cgi?id=836059

https://lists.opensuse.org/opensuse-updates/2013-10/msg00027.html

插件详情

严重性: High

ID: 75170

文件名: openSUSE-2013-769.nasl

版本: 1.5

类型: local

代理: unix

发布时间: 2014/6/13

最近更新时间: 2021/1/19

支持的传感器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Nessus

风险信息

VPR

风险因素: High

分数: 8.9

CVSS v2

风险因素: High

基本分数: 7.5

时间分数: 5.9

矢量: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P

漏洞信息

CPE: p-cpe:/a:novell:opensuse:chromedriver, p-cpe:/a:novell:opensuse:chromedriver-debuginfo, p-cpe:/a:novell:opensuse:chromium, p-cpe:/a:novell:opensuse:chromium-debuginfo, p-cpe:/a:novell:opensuse:chromium-debugsource, p-cpe:/a:novell:opensuse:chromium-desktop-gnome, p-cpe:/a:novell:opensuse:chromium-desktop-kde, p-cpe:/a:novell:opensuse:chromium-ffmpegsumo, p-cpe:/a:novell:opensuse:chromium-ffmpegsumo-debuginfo, p-cpe:/a:novell:opensuse:chromium-suid-helper, p-cpe:/a:novell:opensuse:chromium-suid-helper-debuginfo, cpe:/o:novell:opensuse:12.2, cpe:/o:novell:opensuse:12.3

必需的 KB 项: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list

可利用: true

易利用性: Exploits are available

补丁发布日期: 2013/10/7

参考资料信息

CVE: CVE-2013-2906, CVE-2013-2907, CVE-2013-2908, CVE-2013-2909, CVE-2013-2910, CVE-2013-2911, CVE-2013-2912, CVE-2013-2913, CVE-2013-2914, CVE-2013-2915, CVE-2013-2916, CVE-2013-2917, CVE-2013-2918, CVE-2013-2919, CVE-2013-2920, CVE-2013-2921, CVE-2013-2922, CVE-2013-2923, CVE-2013-2924

BID: 62752, 62968