openSUSE 安全更新:MozillaFirefox (openSUSE-2015-375)

critical Nessus 插件 ID 83801
全新!插件严重性现在使用 CVSS v3

计算的插件严重性默认已更新为使用 CVSS v3。没有 CVSS v3 分数的插件将回退到 CVSS v2 来计算严重性。可以在设置下拉列表中切换严重性显示首选项。

简介

远程 openSUSE 主机缺少安全更新。

描述

Mozilla Firefox Web 浏览器已更新到 38.0.1 版,修复了多个安全问题和非安全问题。此更新中还包含到 3.18.1 版的 Mozilla Network Security Services (NSS) 更新。

修复了以下漏洞和问题:

Mozilla Firefox 中的更改:

- 更新到 Firefox 38.0.1 稳定性和回归补丁

- 采用第一代 NVidia Optimus 显卡的系统可能在启动时崩溃

- 从 Google Chrome 导入 Cookie 的用户可能遇到网站崩溃

- 大型动画图像可能无法播放和停止加载其他图像

- 更新到 Firefox 38.0 (bnc#930622)

- 基于选项卡的新首选项

- Ruby 注释支持

- 更多信息:
https://www.mozilla.org/en-US/firefox/38.0/releasenotes/ 安全补丁:

- MFSA 2015-46/CVE-2015-2708/CVE-2015-2709 各种内存安全危害

- MFSA 2015-47/VE-2015-0797 (bmo#1080995) 通过 Linux Gstreamer 解析 H.264 视频时发生缓冲区溢出

- MFSA 2015-48/CVE-2015-2710 (bmo#1149542) SVG 内容和 CSS 发生缓冲区溢出

- MFSA 2015-49/CVE-2015-2711 (bmo#1113431) 通过中键点击和上下文菜单打开链接时忽略引用策略

- MFSA 2015-50/CVE-2015-2712 (bmo#1152280) asm.js 验证中的越界读取和写入

- MFSA 2015-51/CVE-2015-2713 (bmo#1153478) 启用垂直文本处理文本期间存在释放后使用

- MFSA 2015-53/CVE-2015-2715 (bmo#988698) 由于在关闭期间创建媒体解码器线程而导致的释放后使用

- MFSA 2015-54/CVE-2015-2716 (bmo#1140537) 解析压缩的 XML 时存在缓冲区溢出

- MFSA 2015-55/CVE-2015-2717 (bmo#1154683) 解析 MP4 视频元数据时的缓冲区溢出和越界读取

- MFSA 2015-56/CVE-2015-2718 (bmo#1146724) 托管受信任页面的不受信任站点可能拦截 webchannel 响应

- MFSA 2015-57/CVE-2011-3079 (bmo#1087565) 通过 IPC 通道消息进行权限升级

Mozilla NSS 中的更改:

- 更新到 3.18.1

- Firefox 目标版本 38

- 此版本中未引入任何新功能。
值得注意的更改:

- 以下 CA 证书将网站和代码签名信任位恢复到原始状态,以便留出更多时间来为受影响的站点开发更好的转换策略。

- OU = Equifax Secure Certificate Authority

- 已删除以下 CA 证书:

- CN = e-Guven Kok Elektronik Sertifika Hizmet Saglayicisi

- 以下中间 CA 证书已添加为主动不受信任的证书,因为它曾被滥用于为持有者不拥有或控制的域名颁发证书:

- CN=MCSHOLDING TEST, O=MCSHOLDING, C=EG

- 更新的根 CA 列表的版本号已设置为 2.4

- 更新到 3.18

- Firefox 目标版本 38 新增功能:

- 从 PKCS#12 源导入证书和密钥时,现在可以在将其导入 NSS 数据库之前,使用新的 API SEC_PKCS12DecoderRenameCertNicknames 替代昵称。

- tstclnt 测试实用工具程序具有新命令行选项

-C、-D、-b 和 -R。使用一、二或三次 -C 打印有关从服务器接收的证书的信息,以及有关本地找到的受信任颁发者证书的信息,以诊断服务器端配置问题。可以运行 tstclnt

解决方案

更新受影响的 MozillaFirefox 程序包。

另见

https://bugzilla.opensuse.org/show_bug.cgi?id=930622

https://www.mozilla.org/en-US/firefox/38.0/releasenotes/

插件详情

严重性: Critical

ID: 83801

文件名: openSUSE-2015-375.nasl

版本: 2.3

类型: local

代理: unix

发布时间: 2015/5/26

最近更新时间: 2021/1/19

依存关系: ssh_get_info.nasl

风险信息

VPR

风险因素: Medium

分数: 6.7

CVSS v2

风险因素: Critical

基本分数: 10

矢量: AV:N/AC:L/Au:N/C:C/I:C/A:C

漏洞信息

CPE: p-cpe:/a:novell:opensuse:MozillaFirefox, p-cpe:/a:novell:opensuse:MozillaFirefox-branding-upstream, p-cpe:/a:novell:opensuse:MozillaFirefox-buildsymbols, p-cpe:/a:novell:opensuse:MozillaFirefox-debuginfo, p-cpe:/a:novell:opensuse:MozillaFirefox-debugsource, p-cpe:/a:novell:opensuse:MozillaFirefox-devel, p-cpe:/a:novell:opensuse:MozillaFirefox-translations-common, p-cpe:/a:novell:opensuse:MozillaFirefox-translations-other, p-cpe:/a:novell:opensuse:libfreebl3, p-cpe:/a:novell:opensuse:libfreebl3-32bit, p-cpe:/a:novell:opensuse:libfreebl3-debuginfo, p-cpe:/a:novell:opensuse:libfreebl3-debuginfo-32bit, p-cpe:/a:novell:opensuse:libsoftokn3, p-cpe:/a:novell:opensuse:libsoftokn3-32bit, p-cpe:/a:novell:opensuse:libsoftokn3-debuginfo, p-cpe:/a:novell:opensuse:libsoftokn3-debuginfo-32bit, p-cpe:/a:novell:opensuse:mozilla-nss, p-cpe:/a:novell:opensuse:mozilla-nss-32bit, p-cpe:/a:novell:opensuse:mozilla-nss-certs, p-cpe:/a:novell:opensuse:mozilla-nss-certs-32bit, p-cpe:/a:novell:opensuse:mozilla-nss-certs-debuginfo, p-cpe:/a:novell:opensuse:mozilla-nss-certs-debuginfo-32bit, p-cpe:/a:novell:opensuse:mozilla-nss-debuginfo, p-cpe:/a:novell:opensuse:mozilla-nss-debuginfo-32bit, p-cpe:/a:novell:opensuse:mozilla-nss-debugsource, p-cpe:/a:novell:opensuse:mozilla-nss-devel, p-cpe:/a:novell:opensuse:mozilla-nss-sysinit, p-cpe:/a:novell:opensuse:mozilla-nss-sysinit-32bit, p-cpe:/a:novell:opensuse:mozilla-nss-sysinit-debuginfo, p-cpe:/a:novell:opensuse:mozilla-nss-sysinit-debuginfo-32bit, p-cpe:/a:novell:opensuse:mozilla-nss-tools, p-cpe:/a:novell:opensuse:mozilla-nss-tools-debuginfo, cpe:/o:novell:opensuse:13.1, cpe:/o:novell:opensuse:13.2

必需的 KB 项: Host/local_checks_enabled, Host/SuSE/release, Host/SuSE/rpm-list, Host/cpu

补丁发布日期: 2015/5/15

参考资料信息

CVE: CVE-2011-3079, CVE-2015-2708, CVE-2015-2709, CVE-2015-2710, CVE-2015-2711, CVE-2015-2712, CVE-2015-2713, CVE-2015-2715, CVE-2015-2716, CVE-2015-2717, CVE-2015-2718