openSUSE 安全更新:MozillaFirefox (openSUSE-2014-476)
critical Nessus 插件 ID 76959
语言:
简介
远程 openSUSE 主机缺少安全更新。描述
MozillaFirefox 更新到版本 31,修复了多种安全问题和缺陷:- MFSA 2014-56/CVE-2014-1547/CVE-2014-1548 多项内存安全危害
MFSA 2014-57/CVE-2014-1549 (bmo#1020205) 缓冲要回放的 Web 音频期间的缓冲区溢出
- MFSA 2014-58/CVE-2014-1550 (bmo#1020411) 控制消息排序错误导致 Web 音频中的释放后使用
- MFSA 2014-60/CVE-2014-1561(bmo#1000514、bmo#910375)工具栏对话框自定义事件欺骗
- MFSA 2014-61/CVE-2014-1555 (bmo#1023121) FireOnStateChange 事件的释放后使用
- MFSA 2014-62/CVE-2014-1556 (bmo#1028891) Cesium JavaScript 库存在可利用的 WebGL 崩溃
- MFSA 2014-63/CVE-2014-1544 (bmo#963150) 操纵受信任缓存中的证书时的释放后使用(已通过 NSS 3.16.2 要求解决)
- MFSA 2014-64/CVE-2014-1557 (bmo#913805) 缩放高质量的图像时,Skia 库中出现崩溃
- MFSA 2014-65/CVE-2014-1558/CVE-2014-1559/CVE-2014-1560(bmo#1015973、bmo#1026022、bmo#997795)证书解析被非标准字符编码中断
- MFSA 2014-66/CVE-2014-1552 (bmo#985135) 通过重定向进行 IFRAME 沙盒同源访问
Mozilla-nss 已更新为 3.16.3:新功能:
- CERT_GetGeneralNameTypeFromString(此函数已添加到 NSS 3.16.2 中,但没有在公共标头文件中声明。)值得注意的更改:
- 已删除以下 1024 位 CA 证书
- Entrust.net 安全服务器证书颁发机构
- GTE CyberTrust 全局根证书
- ValiCert 1 类策略验证颁发机构
- ValiCert 2 类策略验证颁发机构
- ValiCert 3 类策略验证颁发机构
- 此外,按照 CA 的请求,已删除以下 CA 证书:
- TDC Internet 根 CA
- 已添加以下 CA 证书:
- WoSign 的证书颁发机构
- CA 沃通根证书
- DigiCert Assured ID 根证书 G2
- DigiCert Assured ID 根证书 G3
- DigiCert 全局根证书 G2
- DigiCert 全局根证书 G3
- DigiCert 受信任根证书 G4
- QuoVadis 根证书 CA 1 G3
- QuoVadis 根证书 CA 2 G3
- QuoVadis 根证书 CA 3 G3
- 已经为以下 CA 证书更改信任位
- 3 类公共主证书颁发机构
- 3 类公共主证书颁发机构
-2 类公共主证书颁发机构 - G2
- VeriSign 2 类公共主证书颁发机构 - G3
- AC Raíz Certicámara S.A.
- NetLock Uzleti(B 类)Tanusitvanykiado
- 3.16.2 新功能中的 NetLock Expressz(C 类)Tanusitvanykiado 更改:
- 支持 DTLS 1.2。
- 服务器端也支持 TLS 应用程序层协议协商 (ALPN) 扩展。
- 支持 RSA-OEAP。使用具有 CKM_RSA_PKCS_OAEP 机制的新的 PK11_PrivDecrypt 和 PK11_PubEncrypt 函数。
- 适用于 32 位和 64 位 Windows 系统的新的 Intel AES 程序集代码,由 Intel 的 Shay Gueron 和 Vlad Krasnov 贡献。值得注意的更改:
- btoa 命令具有新的命令行选项 -w 后缀,这会导致将输出封装在含有给定后缀的 BEGIN/END 行中
- certutil 命令支持其他类型的主题备选名称扩展。
- certutil 命令支持通用证书扩展,其方法是从文件加载二进制数据,这些文件已使用外部工具准备好,或者已从其他现有证书提取并转储到文件。
- certutil 命令支持三个新的证书使用情况说明符。
- pp 命令支持打印 UTF-8 (-u)。
- 在 Linux 中,NSS 使用 -ffunction-sections -fdata-sections 编译器标记和 --gc-sections 链接器标记构建,以允许丢弃未使用的函数。
3.16.1 新功能中的更改:
- 为 modutil 添加了“ECC”标记,以选择用于椭圆曲线加密 (ECC) 操作的模块。
新的宏
- PUBLIC_MECH_ECC_FLAG 公共机制标记,用于椭圆曲线加密 (ECC) 操作
- SECMOD_ECC_FLAG NSS 内部机制标记,用于椭圆曲线加密 (ECC) 操作。此宏的数值与 PUBLIC_MECH_ECC_FLAG 相同。
值得注意的更改:
- 对法国政府根 CA ANSSI (DCISS) 施加了名称限制。
解决方案
更新受影响的 MozillaFirefox 程序包。另见
插件详情
严重性: Critical
ID: 76959
文件名: openSUSE-2014-476.nasl
版本: 1.5
类型: local
代理: unix
发布时间: 2014/8/1
最近更新时间: 2021/1/19
支持的传感器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Nessus
风险信息
VPR
风险因素: Medium
分数: 5.9
CVSS v2
风险因素: Critical
基本分数: 10
矢量: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C
漏洞信息
CPE: p-cpe:/a:novell:opensuse:mozillafirefox, p-cpe:/a:novell:opensuse:mozillafirefox-branding-upstream, p-cpe:/a:novell:opensuse:mozillafirefox-buildsymbols, p-cpe:/a:novell:opensuse:mozillafirefox-debuginfo, p-cpe:/a:novell:opensuse:mozillafirefox-debugsource, p-cpe:/a:novell:opensuse:mozillafirefox-devel, p-cpe:/a:novell:opensuse:mozillafirefox-translations-common, p-cpe:/a:novell:opensuse:mozillafirefox-translations-other, p-cpe:/a:novell:opensuse:libfreebl3, p-cpe:/a:novell:opensuse:libfreebl3-32bit, p-cpe:/a:novell:opensuse:libfreebl3-debuginfo, p-cpe:/a:novell:opensuse:libfreebl3-debuginfo-32bit, p-cpe:/a:novell:opensuse:libsoftokn3, p-cpe:/a:novell:opensuse:libsoftokn3-32bit, p-cpe:/a:novell:opensuse:libsoftokn3-debuginfo, p-cpe:/a:novell:opensuse:libsoftokn3-debuginfo-32bit, p-cpe:/a:novell:opensuse:mozilla-nss, p-cpe:/a:novell:opensuse:mozilla-nss-32bit, p-cpe:/a:novell:opensuse:mozilla-nss-certs, p-cpe:/a:novell:opensuse:mozilla-nss-certs-32bit, p-cpe:/a:novell:opensuse:mozilla-nss-certs-debuginfo, p-cpe:/a:novell:opensuse:mozilla-nss-certs-debuginfo-32bit, p-cpe:/a:novell:opensuse:mozilla-nss-debuginfo, p-cpe:/a:novell:opensuse:mozilla-nss-debuginfo-32bit, p-cpe:/a:novell:opensuse:mozilla-nss-debugsource, p-cpe:/a:novell:opensuse:mozilla-nss-devel, p-cpe:/a:novell:opensuse:mozilla-nss-sysinit, p-cpe:/a:novell:opensuse:mozilla-nss-sysinit-32bit, p-cpe:/a:novell:opensuse:mozilla-nss-sysinit-debuginfo, p-cpe:/a:novell:opensuse:mozilla-nss-sysinit-debuginfo-32bit, p-cpe:/a:novell:opensuse:mozilla-nss-tools, p-cpe:/a:novell:opensuse:mozilla-nss-tools-debuginfo, cpe:/o:novell:opensuse:12.3, cpe:/o:novell:opensuse:13.1
必需的 KB 项: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list
补丁发布日期: 2014/7/25
参考资料信息
CVE: CVE-2014-1544, CVE-2014-1547, CVE-2014-1548, CVE-2014-1549, CVE-2014-1550, CVE-2014-1552, CVE-2014-1555, CVE-2014-1556, CVE-2014-1557, CVE-2014-1558, CVE-2014-1559, CVE-2014-1560, CVE-2014-1561