openSUSE 安全更新:firefox / mozilla-nspr / mozilla-nss (openSUSE-SU-2014:1344-1)
critical Nessus 插件 ID 78818
语言:
简介
远程 openSUSE 主机缺少安全更新。描述
- 更新到 Firefox 33.0 (bnc#900941) 新功能:- OpenH264 支持(沙盒化)
- 已增强平铺功能
- 已改善通过位置栏进行搜索的体验
- 更短小快速的 JavaScript 字符串
- 新的 CSP(内容安全策略)后端
- 支持通过 HTTPS 连接到 HTTP 代理
- 已改善会话恢复的可靠性
- 已删除专有的 window.crypto 属性/函数
安全:
- MFSA 2014-74/CVE-2014-1574/CVE-2014-1575 多项内存安全危害
- MFSA 2014-75/CVE-2014-1576 (bmo#1041512) 在 CSS 操纵期间存在缓冲区溢出
- MFSA 2014-76/CVE-2014-1577 (bmo#1012609) 具有自定义波形的 Web 音频内存损坏问题
- MFSA 2014-77/CVE-2014-1578 (bmo#1063327) 具有 WebM 视频的越界写入
- MFSA 2014-78/CVE-2014-1580 (bmo#1063733) 在 GIF 渲染期间进一步使用未初始化的内存
- MFSA 2014-79/CVE-2014-1581 (bmo#1068218) 与文本方向性交互的释放后使用
- MFSA 2014-80/CVE-2014-1582/CVE-2014-1584(bmo#1049095、bmo#1066190)密钥锁定绕过
- MFSA 2014-81/CVE-2014-1585/CVE-2014-1586(bmo#1062876、bmo#1062981)iframe 内的视频共享不一致
- MFSA 2014-82/CVE-2014-1583 (bmo#1015540) 通过 Alarm API 访问跨域对象(仅与安装的 Web 应用有关)
- 需要 NSPR 4.10.7
- 需要 NSS 3.17.1
- 已删除过时的修补程序:
- mozilla-ppc.patch
- mozilla-libproxy-compat.patch
- 已添加基本 appdata 信息
- 更新到 SeaMonkey 2.30 (bnc#900941)
- 已从应用程序删除 venkman 调试程序,因此废弃程序包 seamonkey-venkman
- MFSA 2014-74/CVE-2014-1574/CVE-2014-1575 多项内存安全危害
- MFSA 2014-75/CVE-2014-1576 (bmo#1041512) 在 CSS 操纵期间存在缓冲区溢出
- MFSA 2014-76/CVE-2014-1577 (bmo#1012609) 具有自定义波形的 Web 音频内存损坏问题
- MFSA 2014-77/CVE-2014-1578 (bmo#1063327) 具有 WebM 视频的越界写入
- MFSA 2014-78/CVE-2014-1580 (bmo#1063733) 在 GIF 渲染期间进一步使用未初始化的内存
- MFSA 2014-79/CVE-2014-1581 (bmo#1068218) 与文本方向性交互的释放后使用
- MFSA 2014-80/CVE-2014-1582/CVE-2014-1584(bmo#1049095、bmo#1066190)密钥锁定绕过
- MFSA 2014-81/CVE-2014-1585/CVE-2014-1586(bmo#1062876、bmo#1062981)iframe 内的视频共享不一致
- MFSA 2014-82/CVE-2014-1583 (bmo#1015540) 通过 Alarm API 访问跨域对象(仅与安装的 Web 应用有关)
- 需要 NSPR 4.10.7
- 需要 NSS 3.17.1
- 已删除过时的修补程序:
- mozilla-ppc.patch
- mozilla-libproxy-compat.patch
mozilla-nss 中的更改:
- 更新到 3.17.1 (bnc#897890)
- 将库的默认签名算法更改为 SHA256
- 添加对 draft-ietf-tls-downgrade-scsv 的支持
- 将 clang-cl 支持添加到 NSS 构建系统
- 实现 TLS 1.3:
- 第 1 部分。协商 TLS 1.3
- 第 2 部分。删除已弃用的加密套件和压缩。
- 添加对小端 powerpc64 的支持
- 更新到 3.17
- 需要 Firefox 33 的新功能:
- 使用 ECDHE 时,可配置 TLS 服务器代码来为每个握手生成新的临时 ECDH 密钥,方法是将 SSL_REUSE_SERVER_ECDHE_KEY 套接字选项设置为 PR_FALSE。SSL_REUSE_SERVER_ECDHE_KEY 选项默认为 PR_TRUE,这意味着会将服务器的临时 ECDH 密钥重复用于多个握手。此选项不会影响 TLS 客户端代码,该代码始终为每个握手生成新的临时 ECDH 密钥。新的宏
- SSL_REUSE_SERVER_ECDHE_KEY 值得注意的更改:
- certutil 和 pp 工具的手册页已更新为记录添加到 NSS 3.16.2 中的新参数。
- 在 Windows 中,新建变量 USE_STATIC_RTL 可用于指定应使用的静态 C 运行时库。默认情况下,使用动态 C 运行时库。
mozilla-nspr 中的更改:
- 更新到版本 4.10.7
- bmo#836658:VC11+ 默认为 SSE2 版本。
- bmo#979278:TSan:数据争用 nsprpub/pr/src/threads/prtpd.c:103 PR_NewThreadPrivateIndex。
- bmo#1026129:使用 #include <intrin.h> 替换 MSVC 内部函数的某些手动声明。
- bmo#1026469:使用 AC_CHECK_LIB 而不是 MOZ_CHECK_PTHREADS。使用 MSVC 跳过编译器检查,即使 $CC 在字面意义上不是“cl”。
- bmo#1034415:在 Windows 中,NSPR 将 C 编译器硬编码为 cl。
- bmo#1042408:针对 Android > API 级别 19 的编译补丁。
- bmo#1043082:NSPR 的构建系统硬编码 -MD。
解决方案
更新受影响的 firefox / mozilla-nspr / mozilla-nss 程序包。另见
https://bugzilla.mozilla.org/show_bug.cgi?id=836658
https://bugzilla.mozilla.org/show_bug.cgi?id=979278
https://bugzilla.opensuse.org/show_bug.cgi?id=894370
https://bugzilla.opensuse.org/show_bug.cgi?id=896624
https://bugzilla.opensuse.org/show_bug.cgi?id=897890
https://bugzilla.opensuse.org/show_bug.cgi?id=900941
https://bugzilla.opensuse.org/show_bug.cgi?id=901213
https://lists.opensuse.org/opensuse-updates/2014-11/msg00001.html
https://bugzilla.mozilla.org/show_bug.cgi?id=1012609
https://bugzilla.mozilla.org/show_bug.cgi?id=1015540
https://bugzilla.mozilla.org/show_bug.cgi?id=1026129
https://bugzilla.mozilla.org/show_bug.cgi?id=1026469
https://bugzilla.mozilla.org/show_bug.cgi?id=1034415
https://bugzilla.mozilla.org/show_bug.cgi?id=1041512
https://bugzilla.mozilla.org/show_bug.cgi?id=1042408
https://bugzilla.mozilla.org/show_bug.cgi?id=1043082
https://bugzilla.mozilla.org/show_bug.cgi?id=1049095
https://bugzilla.mozilla.org/show_bug.cgi?id=1062876
https://bugzilla.mozilla.org/show_bug.cgi?id=1062981
https://bugzilla.mozilla.org/show_bug.cgi?id=1063327
https://bugzilla.mozilla.org/show_bug.cgi?id=1063733
https://bugzilla.mozilla.org/show_bug.cgi?id=1063971
插件详情
严重性: Critical
ID: 78818
文件名: openSUSE-2014-612.nasl
版本: 1.7
类型: local
代理: unix
发布时间: 2014/11/3
最近更新时间: 2021/1/19
支持的传感器: Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Nessus
风险信息
VPR
风险因素: Medium
分数: 6.7
CVSS v2
风险因素: Critical
基本分数: 10
矢量: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C
漏洞信息
CPE: p-cpe:/a:novell:opensuse:seamonkey, p-cpe:/a:novell:opensuse:seamonkey-debuginfo, p-cpe:/a:novell:opensuse:seamonkey-debugsource, p-cpe:/a:novell:opensuse:seamonkey-dom-inspector, p-cpe:/a:novell:opensuse:seamonkey-irc, p-cpe:/a:novell:opensuse:seamonkey-translations-common, p-cpe:/a:novell:opensuse:seamonkey-translations-other, cpe:/o:novell:opensuse:12.3, p-cpe:/a:novell:opensuse:mozillafirefox, p-cpe:/a:novell:opensuse:mozillafirefox-branding-upstream, p-cpe:/a:novell:opensuse:mozillafirefox-buildsymbols, p-cpe:/a:novell:opensuse:mozillafirefox-debuginfo, p-cpe:/a:novell:opensuse:mozillafirefox-debugsource, p-cpe:/a:novell:opensuse:mozillafirefox-devel, p-cpe:/a:novell:opensuse:mozillafirefox-translations-common, p-cpe:/a:novell:opensuse:mozillafirefox-translations-other, p-cpe:/a:novell:opensuse:libfreebl3, p-cpe:/a:novell:opensuse:libfreebl3-32bit, p-cpe:/a:novell:opensuse:libfreebl3-debuginfo, p-cpe:/a:novell:opensuse:libfreebl3-debuginfo-32bit, p-cpe:/a:novell:opensuse:libsoftokn3, p-cpe:/a:novell:opensuse:libsoftokn3-32bit, p-cpe:/a:novell:opensuse:libsoftokn3-debuginfo, p-cpe:/a:novell:opensuse:libsoftokn3-debuginfo-32bit, p-cpe:/a:novell:opensuse:mozilla-nspr, p-cpe:/a:novell:opensuse:mozilla-nspr-32bit, p-cpe:/a:novell:opensuse:mozilla-nspr-debuginfo, p-cpe:/a:novell:opensuse:mozilla-nspr-debuginfo-32bit, p-cpe:/a:novell:opensuse:mozilla-nspr-debugsource, p-cpe:/a:novell:opensuse:mozilla-nspr-devel, p-cpe:/a:novell:opensuse:mozilla-nss, p-cpe:/a:novell:opensuse:mozilla-nss-32bit, p-cpe:/a:novell:opensuse:mozilla-nss-certs, p-cpe:/a:novell:opensuse:mozilla-nss-certs-32bit, p-cpe:/a:novell:opensuse:mozilla-nss-certs-debuginfo, p-cpe:/a:novell:opensuse:mozilla-nss-certs-debuginfo-32bit, p-cpe:/a:novell:opensuse:mozilla-nss-debuginfo, p-cpe:/a:novell:opensuse:mozilla-nss-debuginfo-32bit, p-cpe:/a:novell:opensuse:mozilla-nss-debugsource, p-cpe:/a:novell:opensuse:mozilla-nss-devel, p-cpe:/a:novell:opensuse:mozilla-nss-sysinit, p-cpe:/a:novell:opensuse:mozilla-nss-sysinit-32bit, p-cpe:/a:novell:opensuse:mozilla-nss-sysinit-debuginfo, p-cpe:/a:novell:opensuse:mozilla-nss-sysinit-debuginfo-32bit, p-cpe:/a:novell:opensuse:mozilla-nss-tools, p-cpe:/a:novell:opensuse:mozilla-nss-tools-debuginfo
必需的 KB 项: Host/local_checks_enabled, Host/SuSE/release, Host/SuSE/rpm-list, Host/cpu
补丁发布日期: 2014/10/23
参考资料信息
CVE: CVE-2014-1554, CVE-2014-1574, CVE-2014-1575, CVE-2014-1576, CVE-2014-1577, CVE-2014-1578, CVE-2014-1580, CVE-2014-1581, CVE-2014-1582, CVE-2014-1583, CVE-2014-1584, CVE-2014-1585, CVE-2014-1586