SUSE SLES11 安全更新:MozillaFirefox、mozilla-nss (SUSE-SU-2015:1449-1) (Logjam)

low Nessus 插件 ID 85721
全新!插件严重性现在使用 CVSS v3

计算的插件严重性默认已更新为使用 CVSS v3。没有 CVSS v3 分数的插件将回退到 CVSS v2 来计算严重性。可以在设置下拉列表中切换严重性显示首选项。

简介

远程 SUSE 主机缺少一个或多个安全更新。

描述

Mozilla Firefox 正升级到目前的 Firefox 38ESR 分支(具体为 38.2.0ESR 版本)。

修复的安全问题:

- MFSA 2015-78 / CVE-2015-4495:通过 PDF 阅读器实现的同源违反和本地文件窃取

- MFSA 2015-79 / CVE-2015-4473/CVE-2015-4474:
各种内存安全危害 (rv:40.0 / rv:38.2)

- MFSA 2015-80 / CVE-2015-4475:使用畸形 MP3 文件时发生越界读取

- MFSA 2015-82 / CVE-2015-4478:重新定义不可配置的 JavaScript 对象属性

- MFSA 2015-83 / CVE-2015-4479:libstagefright 中的溢出问题

- MFSA 2015-87 / CVE-2015-4484:在 JavaScript 中使用共享内存时发生崩溃

- MFSA 2015-88 / CVE-2015-4491:缩放位图图像时 gdk-pixbuf 中的堆溢出

- MFSA 2015-89 / CVE-2015-4485/CVE-2015-4486:解码 WebM 视频时 Libvpx 中的缓冲区溢出

- MFSA 2015-90 / CVE-2015-4487/CVE-2015-4488/CVE-2015-4489:
通过代码检查发现了多种漏洞

- MFSA 2015-92 / CVE-2015-4492:包含共享线程的 XMLHttpRequest 中的释放后使用

在 ESR31 中修复了以下漏洞,并包含在本版本中:

- CVE-2015-2724/CVE-2015-2725/CVE-2015-2726:各种内存安全危害 (bsc#935979)。

- CVE-2015-2728:索引数据库管理器中出现类型混淆 (bsc#935979)。

- CVE-2015-2730:ECDSA 签名验证未能正确处理部分签名 (bsc#935979)。

- CVE-2015-2722/CVE-2015-2733:使用 XMLHttpRequest 时工作线程中的释放后使用 (bsc#935979)。
CVE-2015-2734/CVE-2015-2735/CVE-2015-2736/CVE-2015-2737/ CVE-2015-2738/CVE-2 015-2739/CVE-2015-2740:
通过代码检查发现的漏洞 (bsc#935979)。

- CVE-2015-2743:PDF.js 中的权限升级问题 (bsc#935979)。

- CVE-2015-4000:NSS 接受包含常规 DHE 加密套件的导出长度 DHE 密钥 (bsc#935033)。

- CVE-2015-2721:NSS 错误允许跳过 ServerKeyExchange (bsc#935979)。

此更新还包含从 31ESR 到 38ESR 的许多功能改进和缺陷补丁。

另外,Mozilla NSS 库将其 CKBI API 从 1.98 切换到了 2.4, Firefox 38ESR 使用 2.4 版本。

更新 Mozilla Firefox 和 mozilla-nss 以修复 17 个安全问题。

请注意,Tenable Network Security 已直接从 SUSE 安全公告中提取上述描述块。Tenable 已尝试在不引入其他问题的情况下尽可能进行了自动整理和排版。

解决方案

请使用 YaST online_update 安装此 SUSE 安全更新。
或者,可以运行为产品列出的命令:

SUSE Linux Enterprise Server 11-SP2-LTSS:

zypper in -t patch slessp2-mozilla-201507-12049=1

SUSE Linux Enterprise Server 11-SP1-LTSS:

zypper in -t patch slessp1-mozilla-201507-12049=1

SUSE Linux Enterprise Debuginfo 11-SP2:

zypper in -t patch dbgsp2-mozilla-201507-12049=1

SUSE Linux Enterprise Debuginfo 11-SP1:

zypper in -t patch dbgsp1-mozilla-201507-12049=1

要使系统保持最新状态,请使用“zypper 修补程序”。

另见

https://bugzilla.suse.com/show_bug.cgi?id=935033

https://bugzilla.suse.com/show_bug.cgi?id=935979

https://bugzilla.suse.com/show_bug.cgi?id=940806

https://bugzilla.suse.com/show_bug.cgi?id=940918

https://www.suse.com/security/cve/CVE-2015-2721/

https://www.suse.com/security/cve/CVE-2015-2722/

https://www.suse.com/security/cve/CVE-2015-2724/

https://www.suse.com/security/cve/CVE-2015-2725/

https://www.suse.com/security/cve/CVE-2015-2726/

https://www.suse.com/security/cve/CVE-2015-2728/

https://www.suse.com/security/cve/CVE-2015-2730/

https://www.suse.com/security/cve/CVE-2015-2733/

https://www.suse.com/security/cve/CVE-2015-2734/

https://www.suse.com/security/cve/CVE-2015-2735/

https://www.suse.com/security/cve/CVE-2015-2736/

https://www.suse.com/security/cve/CVE-2015-2737/

https://www.suse.com/security/cve/CVE-2015-2738/

https://www.suse.com/security/cve/CVE-2015-2739/

https://www.suse.com/security/cve/CVE-2015-2740/

https://www.suse.com/security/cve/CVE-2015-2743/

https://www.suse.com/security/cve/CVE-2015-4000/

https://www.suse.com/security/cve/CVE-2015-4473/

https://www.suse.com/security/cve/CVE-2015-4474/

https://www.suse.com/security/cve/CVE-2015-4475/

https://www.suse.com/security/cve/CVE-2015-4478/

https://www.suse.com/security/cve/CVE-2015-4479/

https://www.suse.com/security/cve/CVE-2015-4484/

https://www.suse.com/security/cve/CVE-2015-4485/

https://www.suse.com/security/cve/CVE-2015-4486/

https://www.suse.com/security/cve/CVE-2015-4487/

https://www.suse.com/security/cve/CVE-2015-4488/

https://www.suse.com/security/cve/CVE-2015-4489/

https://www.suse.com/security/cve/CVE-2015-4491/

https://www.suse.com/security/cve/CVE-2015-4492/

https://www.suse.com/security/cve/CVE-2015-4495/

http://www.nessus.org/u?7becea4c

插件详情

严重性: Low

ID: 85721

文件名: suse_SU-2015-1449-1.nasl

版本: 2.13

类型: local

代理: unix

发布时间: 2015/9/1

最近更新时间: 2021/1/19

依存关系: ssh_get_info.nasl

风险信息

VPR

风险因素: Medium

分数: 6.4

CVSS v2

风险因素: Critical

基本分数: 10

时间分数: 8.7

矢量: AV:N/AC:L/Au:N/C:C/I:C/A:C

时间矢量: E:H/RL:OF/RC:C

CVSS v3

风险因素: Low

基本分数: 3.7

时间分数: 3.6

矢量: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:L/A:N

时间矢量: E:H/RL:O/RC:C

漏洞信息

CPE: p-cpe:/a:novell:suse_linux:MozillaFirefox, p-cpe:/a:novell:suse_linux:MozillaFirefox-branding-SLED, p-cpe:/a:novell:suse_linux:MozillaFirefox-translations, p-cpe:/a:novell:suse_linux:firefox-libgcc_s1, p-cpe:/a:novell:suse_linux:firefox-libstdc%2b%2b6, p-cpe:/a:novell:suse_linux:libfreebl3, p-cpe:/a:novell:suse_linux:mozilla-nss, p-cpe:/a:novell:suse_linux:mozilla-nss-devel, p-cpe:/a:novell:suse_linux:mozilla-nss-tools, cpe:/o:novell:suse_linux:11

必需的 KB 项: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list

可利用: true

易利用性: Exploits are available

补丁发布日期: 2015/8/25

漏洞发布日期: 2015/5/21

可利用的方式

CANVAS (CANVAS)

参考资料信息

CVE: CVE-2015-2721, CVE-2015-2722, CVE-2015-2724, CVE-2015-2725, CVE-2015-2726, CVE-2015-2728, CVE-2015-2730, CVE-2015-2733, CVE-2015-2734, CVE-2015-2735, CVE-2015-2736, CVE-2015-2737, CVE-2015-2738, CVE-2015-2739, CVE-2015-2740, CVE-2015-2743, CVE-2015-4000, CVE-2015-4473, CVE-2015-4474, CVE-2015-4475, CVE-2015-4478, CVE-2015-4479, CVE-2015-4484, CVE-2015-4485, CVE-2015-4486, CVE-2015-4487, CVE-2015-4488, CVE-2015-4489, CVE-2015-4491, CVE-2015-4492, CVE-2015-4495

BID: 74733, 75541