openSUSE 安全更新:MozillaFirefox / mozilla-nss (openSUSE-2015-185)
high Nessus 插件 ID 81589
语言:
简介
远程 openSUSE 主机缺少安全更新。描述
MozillaFirefox、mozilla-nss 已更新,修复了 18 个安全问题。MozillaFirefox 已更新到版本 36.0。修复了这些安全问题:
- CVE-2015-0835、CVE-2015-0836:各种内存安全危害
- CVE-2015-0832:对主机名附加点可绕过 HPKP 和 HSTS 保护
- CVE-2015-0830:写入字符串时发生恶意 WebGL 内容崩溃
- CVE-2015-0834:TLS TURN 和 STUN 连接在建立简单的 TCP 连接时以静默方式失败
- CVE-2015-0831:IndexedDB 中的释放后使用
- CVE-2015-0829:libstagefright 中在 MP4 视频重播时发生缓冲区溢出
- CVE-2015-0828:对零长度 XHR 使用非默认内存分配器时发生双重释放
- CVE-2015-0827:渲染 SVG 内容时的越界读写
- CVE-2015-0826:在 CSS 重新设计期间发生缓冲区溢出
- CVE-2015-0825:MP3 播放期间的缓冲区下溢
- CVE-2015-0824:在 Cairo 图形库中使用 DrawTarget 时崩溃
- CVE-2015-0823:OpenType Sanitiser 中开发人员控制台日期中的释放后使用
- CVE-2015-0822:通过操纵表单自动填写来读取本地文件
- CVE-2015-0821:可在新选项卡中打开页面中的本地文件或特权 URL
- CVE-2015-0819:后台选项卡中的 UI Tour 白名单网站可欺骗前台选项卡
- CVE-2015-0820:Caja Compiler JavaScript 沙盒绕过
Mozilla-nss 已更新到版本 3.17.4,修复了以下问题:
- CVE-2014-1569:QuickDER 解码器长度问题 (bnc#910647)。
- bmo#1084986:如果 SSL/TLS 连接失败,由于客户端和服务器未启用任何公共协议版本,因此 NSS 已更改为报告错误代码 SSL_ERROR_UNSUPPORTED_VERSION(而不报告 SSL_ERROR_NO_CYPHER_OVERLAP)。
- bmo#1112461:libpkix 已修复,在有多个证书匹配时会选择最新的证书。
- bmo#1094492:修复了密钥对生成失败时的内存损坏问题。
- bmo#1113632:修复了在 FIPS 模式下重新加载 PKCS#11 模块失败的问题。
- bmo#1119983:修复 NSS 服务器节点与 LibreSSL 客户端的互操作性。
解决方案
更新受影响的 MozillaFirefox / mozilla-nss 程序包。另见
插件详情
严重性: High
ID: 81589
文件名: openSUSE-2015-185.nasl
版本: 1.8
类型: local
代理: unix
发布时间: 2015/3/2
最近更新时间: 2021/1/19
支持的传感器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Nessus
风险信息
VPR
风险因素: Medium
分数: 5.9
CVSS v2
风险因素: High
基本分数: 7.5
矢量: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P
漏洞信息
CPE: p-cpe:/a:novell:opensuse:mozillafirefox, p-cpe:/a:novell:opensuse:mozillafirefox-branding-upstream, p-cpe:/a:novell:opensuse:mozillafirefox-buildsymbols, p-cpe:/a:novell:opensuse:mozillafirefox-debuginfo, p-cpe:/a:novell:opensuse:mozillafirefox-debugsource, p-cpe:/a:novell:opensuse:mozillafirefox-devel, p-cpe:/a:novell:opensuse:mozillafirefox-translations-common, p-cpe:/a:novell:opensuse:mozillafirefox-translations-other, p-cpe:/a:novell:opensuse:libfreebl3, p-cpe:/a:novell:opensuse:libfreebl3-32bit, p-cpe:/a:novell:opensuse:libfreebl3-debuginfo, p-cpe:/a:novell:opensuse:libfreebl3-debuginfo-32bit, p-cpe:/a:novell:opensuse:libsoftokn3, p-cpe:/a:novell:opensuse:libsoftokn3-32bit, p-cpe:/a:novell:opensuse:libsoftokn3-debuginfo, p-cpe:/a:novell:opensuse:libsoftokn3-debuginfo-32bit, p-cpe:/a:novell:opensuse:mozilla-nss, p-cpe:/a:novell:opensuse:mozilla-nss-32bit, p-cpe:/a:novell:opensuse:mozilla-nss-certs, p-cpe:/a:novell:opensuse:mozilla-nss-certs-32bit, p-cpe:/a:novell:opensuse:mozilla-nss-certs-debuginfo, p-cpe:/a:novell:opensuse:mozilla-nss-certs-debuginfo-32bit, p-cpe:/a:novell:opensuse:mozilla-nss-debuginfo, p-cpe:/a:novell:opensuse:mozilla-nss-debuginfo-32bit, p-cpe:/a:novell:opensuse:mozilla-nss-debugsource, p-cpe:/a:novell:opensuse:mozilla-nss-devel, p-cpe:/a:novell:opensuse:mozilla-nss-sysinit, p-cpe:/a:novell:opensuse:mozilla-nss-sysinit-32bit, p-cpe:/a:novell:opensuse:mozilla-nss-sysinit-debuginfo, p-cpe:/a:novell:opensuse:mozilla-nss-sysinit-debuginfo-32bit, p-cpe:/a:novell:opensuse:mozilla-nss-tools, p-cpe:/a:novell:opensuse:mozilla-nss-tools-debuginfo, cpe:/o:novell:opensuse:13.1, cpe:/o:novell:opensuse:13.2
必需的 KB 项: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list
补丁发布日期: 2015/2/26
参考资料信息
CVE: CVE-2014-1569, CVE-2015-0819, CVE-2015-0820, CVE-2015-0821, CVE-2015-0822, CVE-2015-0823, CVE-2015-0824, CVE-2015-0825, CVE-2015-0826, CVE-2015-0827, CVE-2015-0828, CVE-2015-0829, CVE-2015-0830, CVE-2015-0831, CVE-2015-0832, CVE-2015-0834, CVE-2015-0835, CVE-2015-0836