openSUSE 安全更新:MozillaFirefox / mozilla-nss (openSUSE-2015-480) (Logjam)

low Nessus 插件 ID 84720
全新!插件严重性现在使用 CVSS v3

计算的插件严重性默认已更新为使用 CVSS v3。没有 CVSS v3 分数的插件将回退到 CVSS v2 来计算严重性。可以在设置下拉列表中切换严重性显示首选项。

简介

远程 openSUSE 主机缺少安全更新。

描述

MozillaFirefox 已更新到版本 39.0,修复了 21 个安全问题。

修复了这些安全问题:

- CVE-2015-2724/CVE-2015-2725/CVE-2015-2726:各种内存安全危害 (bsc#935979)。

- CVE-2015-2727:可在新选项卡中打开页面中的本地文件或特权 URL (bsc#935979)。

- CVE-2015-2728:索引数据库管理器中出现类型混淆 (bsc#935979)。

- CVE-2015-2729:计算 Web 音频中的振荡器渲染范围时的越界读取 (bsc#935979)。

- CVE-2015-2731:内容策略中因微任务执行错误而造成的释放后使用 (bsc#935979)。

- CVE-2015-2730:ECDSA 签名验证未能正确处理部分签名 (bsc#935979)。

- CVE-2015-2722/CVE-2015-2733:使用 XMLHttpRequest 时工作线程中的释放后使用 (bsc#935979)。

- CVE-2015-2734/CVE-2015-2735/CVE-2015-2736/CVE-2015-2737/ CVE-2015-2738/CVE-2015-2739/CVE-2015-2740:通过代码检查发现的漏洞 (bsc#935979)。

- CVE-2015-2741:遇到可覆盖的错误时忽略密钥锁定 (bsc#935979).

- CVE-2015-2743:PDF.js 中的权限升级问题 (bsc#935979)。

- CVE-2015-4000:NSS 接受包含常规 DHE 加密套件的出口级长度 DHE 密钥 (bsc#935979)。

- CVE-2015-2721:NSS 错误允许跳过 ServerKeyExchange (bsc#935979)。

新功能:

- 与社交网络共享 Hello URL

- 对 ARIA 1.1 中的“switch”角色的支持(Web 可访问性)

- 为下载启用了 SafeBrowsing 恶意软件检测查找(Mac OS X 和 Linux)

- 对新的 Unicode 8.0 肤色表情符号的支持

- 删除了对用于网络通信的不安全的 SSLv3 的支持

- 禁用 RC4 的使用,临时加入白名单的主机除外

- NPAPI 插件性能通过异步初始化得到改进

mozilla-nss 已更新到版本 3.19.2,修复了上面列出的部分安全问题。

解决方案

更新受影响的 MozillaFirefox / mozilla-nss 程序包。

另见

https://bugzilla.opensuse.org/show_bug.cgi?id=932142

https://bugzilla.opensuse.org/show_bug.cgi?id=933439

https://bugzilla.opensuse.org/show_bug.cgi?id=935979

插件详情

严重性: Low

ID: 84720

文件名: openSUSE-2015-480.nasl

版本: 2.8

类型: local

代理: unix

发布时间: 2015/7/14

最近更新时间: 2021/1/19

依存关系: ssh_get_info.nasl

风险信息

VPR

风险因素: Medium

分数: 5.9

CVSS v2

风险因素: Critical

基本分数: 10

矢量: AV:N/AC:L/Au:N/C:C/I:C/A:C

CVSS v3

风险因素: Low

基本分数: 3.7

矢量: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:L/A:N

漏洞信息

CPE: p-cpe:/a:novell:opensuse:MozillaFirefox, p-cpe:/a:novell:opensuse:MozillaFirefox-branding-upstream, p-cpe:/a:novell:opensuse:MozillaFirefox-buildsymbols, p-cpe:/a:novell:opensuse:MozillaFirefox-debuginfo, p-cpe:/a:novell:opensuse:MozillaFirefox-debugsource, p-cpe:/a:novell:opensuse:MozillaFirefox-devel, p-cpe:/a:novell:opensuse:MozillaFirefox-translations-common, p-cpe:/a:novell:opensuse:MozillaFirefox-translations-other, p-cpe:/a:novell:opensuse:libfreebl3, p-cpe:/a:novell:opensuse:libfreebl3-32bit, p-cpe:/a:novell:opensuse:libfreebl3-debuginfo, p-cpe:/a:novell:opensuse:libfreebl3-debuginfo-32bit, p-cpe:/a:novell:opensuse:libsoftokn3, p-cpe:/a:novell:opensuse:libsoftokn3-32bit, p-cpe:/a:novell:opensuse:libsoftokn3-debuginfo, p-cpe:/a:novell:opensuse:libsoftokn3-debuginfo-32bit, p-cpe:/a:novell:opensuse:mozilla-nss, p-cpe:/a:novell:opensuse:mozilla-nss-32bit, p-cpe:/a:novell:opensuse:mozilla-nss-certs, p-cpe:/a:novell:opensuse:mozilla-nss-certs-32bit, p-cpe:/a:novell:opensuse:mozilla-nss-certs-debuginfo, p-cpe:/a:novell:opensuse:mozilla-nss-certs-debuginfo-32bit, p-cpe:/a:novell:opensuse:mozilla-nss-debuginfo, p-cpe:/a:novell:opensuse:mozilla-nss-debuginfo-32bit, p-cpe:/a:novell:opensuse:mozilla-nss-debugsource, p-cpe:/a:novell:opensuse:mozilla-nss-devel, p-cpe:/a:novell:opensuse:mozilla-nss-sysinit, p-cpe:/a:novell:opensuse:mozilla-nss-sysinit-32bit, p-cpe:/a:novell:opensuse:mozilla-nss-sysinit-debuginfo, p-cpe:/a:novell:opensuse:mozilla-nss-sysinit-debuginfo-32bit, p-cpe:/a:novell:opensuse:mozilla-nss-tools, p-cpe:/a:novell:opensuse:mozilla-nss-tools-debuginfo, cpe:/o:novell:opensuse:13.1, cpe:/o:novell:opensuse:13.2

必需的 KB 项: Host/local_checks_enabled, Host/SuSE/release, Host/SuSE/rpm-list, Host/cpu

补丁发布日期: 2015/7/3

参考资料信息

CVE: CVE-2015-2721, CVE-2015-2722, CVE-2015-2724, CVE-2015-2725, CVE-2015-2726, CVE-2015-2727, CVE-2015-2728, CVE-2015-2729, CVE-2015-2730, CVE-2015-2731, CVE-2015-2733, CVE-2015-2734, CVE-2015-2735, CVE-2015-2736, CVE-2015-2737, CVE-2015-2738, CVE-2015-2739, CVE-2015-2740, CVE-2015-2741, CVE-2015-2743, CVE-2015-4000