openSUSE 安全更新:MozillaFirefox (openSUSE-2015-375)

critical Nessus 插件 ID 83801
全新!漏洞优先级评级 (VPR)

Tenable 测算每个漏洞的动态 VPR。VPR 将漏洞信息与威胁情报和机器学习算法相结合,预测哪些漏洞最有可能在攻击中被利用。了解详细信息: VPR 的定义及其与 CVSS 的区别。

VPR 得分: 6.7

简介

远程 openSUSE 主机缺少安全更新。

描述

Mozilla Firefox Web 浏览器已更新到 38.0.1 版,修复了多个安全问题和非安全问题。此更新中还包含到 3.18.1 版的 Mozilla Network Security Services (NSS) 更新。

修复了以下漏洞和问题:

Mozilla Firefox 中的更改:

- 更新到 Firefox 38.0.1 稳定性和回归补丁

- 采用第一代 NVidia Optimus 显卡的系统可能在启动时崩溃

- 从 Google Chrome 导入 Cookie 的用户可能遇到网站崩溃

- 大型动画图像可能无法播放和停止加载其他图像

- 更新到 Firefox 38.0 (bnc#930622)

- 基于选项卡的新首选项

- Ruby 注释支持

- 更多信息:
https://www.mozilla.org/en-US/firefox/38.0/releasenotes/ 安全补丁:

- MFSA 2015-46/CVE-2015-2708/CVE-2015-2709 各种内存安全危害

- MFSA 2015-47/VE-2015-0797 (bmo#1080995) 通过 Linux Gstreamer 解析 H.264 视频时发生缓冲区溢出

- MFSA 2015-48/CVE-2015-2710 (bmo#1149542) SVG 内容和 CSS 发生缓冲区溢出

- MFSA 2015-49/CVE-2015-2711 (bmo#1113431) 通过中键点击和上下文菜单打开链接时忽略引用策略

- MFSA 2015-50/CVE-2015-2712 (bmo#1152280) asm.js 验证中的越界读取和写入

- MFSA 2015-51/CVE-2015-2713 (bmo#1153478) 启用垂直文本处理文本期间存在释放后使用

- MFSA 2015-53/CVE-2015-2715 (bmo#988698) 由于在关闭期间创建媒体解码器线程而导致的释放后使用

- MFSA 2015-54/CVE-2015-2716 (bmo#1140537) 解析压缩的 XML 时存在缓冲区溢出

- MFSA 2015-55/CVE-2015-2717 (bmo#1154683) 解析 MP4 视频元数据时的缓冲区溢出和越界读取

- MFSA 2015-56/CVE-2015-2718 (bmo#1146724) 托管受信任页面的不受信任站点可能拦截 webchannel 响应

- MFSA 2015-57/CVE-2011-3079 (bmo#1087565) 通过 IPC 通道消息进行权限升级

Mozilla NSS 中的更改:

- 更新到 3.18.1

- Firefox 目标版本 38

- 此版本中未引入任何新功能。
值得注意的更改:

- 以下 CA 证书将网站和代码签名信任位恢复到原始状态,以便留出更多时间来为受影响的站点开发更好的转换策略。

- OU = Equifax Secure Certificate Authority

- 已删除以下 CA 证书:

- CN = e-Guven Kok Elektronik Sertifika Hizmet Saglayicisi

- 以下中间 CA 证书已添加为主动不受信任的证书,因为它曾被滥用于为持有者不拥有或控制的域名颁发证书:

- CN=MCSHOLDING TEST, O=MCSHOLDING, C=EG

- 更新的根 CA 列表的版本号已设置为 2.4

- 更新到 3.18

- Firefox 目标版本 38 新增功能:

- 从 PKCS#12 源导入证书和密钥时,现在可以在将其导入 NSS 数据库之前,使用新的 API SEC_PKCS12DecoderRenameCertNicknames 替代昵称。

- tstclnt 测试实用工具程序具有新命令行选项

-C、-D、-b 和 -R。使用一、二或三次 -C 打印有关从服务器接收的证书的信息,以及有关本地找到的受信任颁发者证书的信息,以诊断服务器端配置问题。可以运行 tstclnt

解决方案

更新受影响的 MozillaFirefox 程序包。

另见

https://bugzilla.opensuse.org/show_bug.cgi?id=930622

https://www.mozilla.org/en-US/firefox/38.0/releasenotes/

插件详情

严重性: Critical

ID: 83801

文件名: openSUSE-2015-375.nasl

版本: 2.3

类型: local

代理: unix

发布时间: 2015/5/26

最近更新时间: 2021/1/19

依存关系: ssh_get_info.nasl

风险信息

风险因素: Critical

VPR 得分: 6.7

CVSS v2.0

基本分数: 10

矢量: AV:N/AC:L/Au:N/C:C/I:C/A:C

漏洞信息

CPE: p-cpe:/a:novell:opensuse:MozillaFirefox, p-cpe:/a:novell:opensuse:MozillaFirefox-branding-upstream, p-cpe:/a:novell:opensuse:MozillaFirefox-buildsymbols, p-cpe:/a:novell:opensuse:MozillaFirefox-debuginfo, p-cpe:/a:novell:opensuse:MozillaFirefox-debugsource, p-cpe:/a:novell:opensuse:MozillaFirefox-devel, p-cpe:/a:novell:opensuse:MozillaFirefox-translations-common, p-cpe:/a:novell:opensuse:MozillaFirefox-translations-other, p-cpe:/a:novell:opensuse:libfreebl3, p-cpe:/a:novell:opensuse:libfreebl3-32bit, p-cpe:/a:novell:opensuse:libfreebl3-debuginfo, p-cpe:/a:novell:opensuse:libfreebl3-debuginfo-32bit, p-cpe:/a:novell:opensuse:libsoftokn3, p-cpe:/a:novell:opensuse:libsoftokn3-32bit, p-cpe:/a:novell:opensuse:libsoftokn3-debuginfo, p-cpe:/a:novell:opensuse:libsoftokn3-debuginfo-32bit, p-cpe:/a:novell:opensuse:mozilla-nss, p-cpe:/a:novell:opensuse:mozilla-nss-32bit, p-cpe:/a:novell:opensuse:mozilla-nss-certs, p-cpe:/a:novell:opensuse:mozilla-nss-certs-32bit, p-cpe:/a:novell:opensuse:mozilla-nss-certs-debuginfo, p-cpe:/a:novell:opensuse:mozilla-nss-certs-debuginfo-32bit, p-cpe:/a:novell:opensuse:mozilla-nss-debuginfo, p-cpe:/a:novell:opensuse:mozilla-nss-debuginfo-32bit, p-cpe:/a:novell:opensuse:mozilla-nss-debugsource, p-cpe:/a:novell:opensuse:mozilla-nss-devel, p-cpe:/a:novell:opensuse:mozilla-nss-sysinit, p-cpe:/a:novell:opensuse:mozilla-nss-sysinit-32bit, p-cpe:/a:novell:opensuse:mozilla-nss-sysinit-debuginfo, p-cpe:/a:novell:opensuse:mozilla-nss-sysinit-debuginfo-32bit, p-cpe:/a:novell:opensuse:mozilla-nss-tools, p-cpe:/a:novell:opensuse:mozilla-nss-tools-debuginfo, cpe:/o:novell:opensuse:13.1, cpe:/o:novell:opensuse:13.2

必需的 KB 项: Host/local_checks_enabled, Host/SuSE/release, Host/SuSE/rpm-list, Host/cpu

补丁发布日期: 2015/5/15

参考资料信息

CVE: CVE-2011-3079, CVE-2015-2708, CVE-2015-2709, CVE-2015-2710, CVE-2015-2711, CVE-2015-2712, CVE-2015-2713, CVE-2015-2715, CVE-2015-2716, CVE-2015-2717, CVE-2015-2718