openSUSE 安全更新：firefox / seamonkey / thunderbird (openSUSE-SU-2014:0212-1)

critical Nessus 插件 ID 75253

语言：

简介

远程 openSUSE 主机缺少安全更新。

描述

Mozilla Firefox 更新到了版本 27。Mozilla SeaMonkey 已更新至 2.24，修复了与 Firefox 27 类似的问题。Mozilla Thunderbird 已更新至 24.3.0，修复了与 Firefox 27 类似的问题。

Firefox 27 版本引入了 TLS 1.2 支持，将其作为一项主要安全功能。

它还修复了以下安全问题：

- MFSA 2014-01/CVE-2014-1477/CVE-2014-1478 多项内存安全危害 (rv:27.0 / rv:24.3)

- MFSA 2014-02/CVE-2014-1479 (bmo#911864) 克隆具有 XBL 范围的受保护内容

- MFSA 2014-03/CVE-2014-1480 (bmo#916726) 下载提示中缺少 UI 选择超时

- MFSA 2014-04/CVE-2014-1482 (bmo#943803) 未正确使用 RasterImage 丢弃的图像

- MFSA 2014-05/CVE-2014-1483 (bmo#950427) iframes 中的 *FromPoint 存在信息泄露

- MFSA 2014-06/CVE-2014-1484 (bmo#953993) 配置文件路径泄漏到 Android 系统日志

- MFSA 2014-07/CVE-2014-1485 (bmo#910139) XSLT 样式表在内容安全策略中处理为样式

- MFSA 2014-08/CVE-2014-1486 (bmo#942164) imgRequestProxy 和图像处理的释放后使用

- MFSA 2014-09/CVE-2014-1487 (bmo#947592) 通过 Web 工作发生的跨源信息泄漏

- MFSA 2014-10/CVE-2014-1489 (bmo#959531) Firefox 默认启动页 UI 内容可由脚本调用

- MFSA 2014-11/CVE-2014-1488 (bmo#950604) Web 工作与 asm.js 一起使用时发生崩溃

- MFSA 2014-12/CVE-2014-1490/CVE-2014-1491（bmo#934545、bmo#930874、bmo#930857）NSS 票证处理问题

- MFSA 2014-13/CVE-2014-1481(bmo#936056) Window 对象访问权限的不一致 JavaScript 处理

Mozilla NSS 已更新到 3.15.4：

- Firefox 27 所需

- 常规 CA 根存储更新 (1.96)

- 重构了 SSL/TLS 客户端 hello 消息中提供的加密套件，以匹配现代最佳实践。

- 改进了 SSL/TLS 假启动。除了启用 SSL_ENABLE_FALSE_START 选项之外，应用程序现在还必须使用 SSL_SetCanFalseStartCallback 函数注册回调。

- 当启用假启动时，libssl 有时会返回来自 PR_Recv 的未加密且未经认证的数据（CVE-2013-1740、bmo#919877）

- MFSA 2014-12/CVE-2014-1490/CVE-2014-1491 NSS 票证处理问题新功能

- 使用 HTTP GET 方法实现了 OCSP 查询，这是新的默认方法，但将回退到 HTTP POST 方法。

- 实现了用于测试的 OCSP 服务器功能（httpserv 实用工具）。

- 支持使用 TLS 1.2 客户端认证的 SHA-1 签名。

- 在 certutil 中新增了 --empty-password 命令行选项，要与 -N 一起使用：创建新数据库时使用空密码。

- 在 pp 中新增了 -w 命令行选项：不封装长输出行。

解决方案

更新受影响的 firefox / seamonkey / thunderbird 程序包。

另见

https://lists.opensuse.org/opensuse-updates/2014-02/msg00027.html

插件详情

严重性: Critical

ID: 75253

文件名: openSUSE-2014-119.nasl

版本: 1.5

类型: local

代理: unix

系列: SuSE Local Security Checks

发布时间: 2014/6/13

最近更新时间: 2021/1/19

支持的传感器: Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Nessus

风险信息

VPR

风险因素: Medium

分数: 6.7

CVSS v2

风险因素: Critical

基本分数: 10

时间分数: 8.7

矢量: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

漏洞信息

CPE: p-cpe:/a:novell:opensuse:mozillafirefox, p-cpe:/a:novell:opensuse:mozillafirefox-branding-upstream, p-cpe:/a:novell:opensuse:mozillafirefox-buildsymbols, p-cpe:/a:novell:opensuse:mozillafirefox-debuginfo, p-cpe:/a:novell:opensuse:mozillafirefox-debugsource, p-cpe:/a:novell:opensuse:mozillafirefox-devel, p-cpe:/a:novell:opensuse:mozillafirefox-translations-common, p-cpe:/a:novell:opensuse:mozillafirefox-translations-other, p-cpe:/a:novell:opensuse:mozillathunderbird, p-cpe:/a:novell:opensuse:mozillathunderbird-buildsymbols, p-cpe:/a:novell:opensuse:mozillathunderbird-debuginfo, p-cpe:/a:novell:opensuse:mozillathunderbird-debugsource, p-cpe:/a:novell:opensuse:mozillathunderbird-devel, p-cpe:/a:novell:opensuse:mozillathunderbird-translations-common, p-cpe:/a:novell:opensuse:mozillathunderbird-translations-other, p-cpe:/a:novell:opensuse:enigmail, p-cpe:/a:novell:opensuse:enigmail-debuginfo, p-cpe:/a:novell:opensuse:libfreebl3, p-cpe:/a:novell:opensuse:libfreebl3-32bit, p-cpe:/a:novell:opensuse:libfreebl3-debuginfo, p-cpe:/a:novell:opensuse:libfreebl3-debuginfo-32bit, p-cpe:/a:novell:opensuse:libsoftokn3, p-cpe:/a:novell:opensuse:libsoftokn3-32bit, p-cpe:/a:novell:opensuse:libsoftokn3-debuginfo, p-cpe:/a:novell:opensuse:libsoftokn3-debuginfo-32bit, p-cpe:/a:novell:opensuse:mozilla-nss, p-cpe:/a:novell:opensuse:mozilla-nss-32bit, p-cpe:/a:novell:opensuse:mozilla-nss-certs, p-cpe:/a:novell:opensuse:mozilla-nss-certs-32bit, p-cpe:/a:novell:opensuse:mozilla-nss-certs-debuginfo, p-cpe:/a:novell:opensuse:mozilla-nss-certs-debuginfo-32bit, p-cpe:/a:novell:opensuse:mozilla-nss-debuginfo, p-cpe:/a:novell:opensuse:mozilla-nss-debuginfo-32bit, p-cpe:/a:novell:opensuse:mozilla-nss-debugsource, p-cpe:/a:novell:opensuse:mozilla-nss-devel, p-cpe:/a:novell:opensuse:mozilla-nss-sysinit, p-cpe:/a:novell:opensuse:mozilla-nss-sysinit-32bit, p-cpe:/a:novell:opensuse:mozilla-nss-sysinit-debuginfo, p-cpe:/a:novell:opensuse:mozilla-nss-sysinit-debuginfo-32bit, p-cpe:/a:novell:opensuse:mozilla-nss-tools, p-cpe:/a:novell:opensuse:mozilla-nss-tools-debuginfo, p-cpe:/a:novell:opensuse:seamonkey, p-cpe:/a:novell:opensuse:seamonkey-debuginfo, p-cpe:/a:novell:opensuse:seamonkey-debugsource, p-cpe:/a:novell:opensuse:seamonkey-dom-inspector, p-cpe:/a:novell:opensuse:seamonkey-irc, p-cpe:/a:novell:opensuse:seamonkey-translations-common, p-cpe:/a:novell:opensuse:seamonkey-translations-other, p-cpe:/a:novell:opensuse:seamonkey-venkman, cpe:/o:novell:opensuse:12.3, cpe:/o:novell:opensuse:13.1

必需的 KB 项: Host/local_checks_enabled, Host/SuSE/release, Host/SuSE/rpm-list, Host/cpu

易利用性: No known exploits are available

补丁发布日期: 2014/2/6

参考资料信息

CVE: CVE-2013-1740, CVE-2014-1477, CVE-2014-1478, CVE-2014-1479, CVE-2014-1480, CVE-2014-1481, CVE-2014-1482, CVE-2014-1483, CVE-2014-1484, CVE-2014-1485, CVE-2014-1486, CVE-2014-1487, CVE-2014-1488, CVE-2014-1489, CVE-2014-1490, CVE-2014-1491

BID: 64944, 65316, 65317, 65320, 65321, 65322, 65323, 65324, 65326, 65328, 65329, 65330, 65331, 65332, 65334, 65335