openSUSE 安全更新:Firefox (openSUSE-2016-566)
high Nessus 插件 ID 91069
语言:
简介
远程 openSUSE 主机缺少安全更新。描述
此 Mozilla Firefox 46.0 更新修复了多个安全问题和缺陷 (boo#977333)。修复了以下漏洞:
- CVE-2016-2804:其他内存安全危害 - MFSA 2016-39 (boo#977373)
- CVE-2016-2806:其他内存安全危害 - MFSA 2016-39 (boo#977375)
- CVE-2016-2807:其他内存安全危害 - MFSA 2016-39 (boo#977376)
- CVE-2016-2808:通过 JavaScript.watch() 写入无效的 HashMap 条目
- MFSA 2016-47 (boo#977386)
- CVE-2016-2811:服务工作线程中的释放后使用 - MFSA 2016-42 (boo#977379)
- CVE-2016-2812:服务工作线程中的缓冲区溢出 - MFSA 2016-42 (boo#977379)
- CVE-2016-2814:libstagefright 中因 CENC 偏移发生的缓冲区溢出 - MFSA 2016-44 (boo#977381)
- CVE-2016-2816:CSP 未应用到通过 multipart/x-mixed-replace 发送的页面 - MFSA 2016-45 (boo#977382)
- CVE-2016-2817:通过 Web 扩展中的 chrome.tabs.update API 提升权限 - MFSA 2016-46 (boo#977384)
- CVE-2016-2820:Firefox 健康状况报告可接收来自不受信任域的事件 - MFSA 2016-48 (boo#977388)
包含以下其他变更:
- 提高了 JavaScript Just In Time (JIT) 编译器的安全性
- WebRTC 补丁可改善性能和稳定性
- 添加了对 document.elementsFromPoint 的支持
- 添加了对 Web Crypto API 的 HKDF 支持
最低要求提高为 NSPR 4.12 和 NSS 3.22.3。
作为 Mozilla Firefox 46.0 的依赖项,Mozilla NSS 已更新到 3.22.3,包含以下变更:
- 提高 TLS 扩展主密钥的兼容性,不在握手结束前发送空 TLS 扩展 (bmo#1243641)
- 现在支持 RSA-PSS 签名
- 现在支持基于哈希而不是 SHA-1 的伪随机函数
- 在 NSS 上强制执行来自配置文件的外部策略
解决方案
更新受影响的 Firefox 程序包。另见
https://bugzilla.mozilla.org/show_bug.cgi?id=1009429
https://bugzilla.mozilla.org/show_bug.cgi?id=1197901
https://bugzilla.mozilla.org/show_bug.cgi?id=1212939
https://bugzilla.mozilla.org/show_bug.cgi?id=1215295
https://bugzilla.mozilla.org/show_bug.cgi?id=1223743
https://bugzilla.mozilla.org/show_bug.cgi?id=1227462
https://bugzilla.mozilla.org/show_bug.cgi?id=1229681
https://bugzilla.mozilla.org/show_bug.cgi?id=1230955
https://bugzilla.mozilla.org/show_bug.cgi?id=1243641
https://bugzilla.mozilla.org/show_bug.cgi?id=1246061
https://bugzilla.mozilla.org/show_bug.cgi?id=1249572
https://bugzilla.mozilla.org/show_bug.cgi?id=1252330
https://bugzilla.mozilla.org/show_bug.cgi?id=1254503
https://bugzilla.mozilla.org/show_bug.cgi?id=1254694
https://bugzilla.mozilla.org/show_bug.cgi?id=1254721
https://bugzilla.mozilla.org/show_bug.cgi?id=1254856
https://bugzilla.mozilla.org/show_bug.cgi?id=1254980
https://bugzilla.mozilla.org/show_bug.cgi?id=1255139
https://bugzilla.mozilla.org/show_bug.cgi?id=1255605
https://bugzilla.mozilla.org/show_bug.cgi?id=1255735
https://bugzilla.mozilla.org/show_bug.cgi?id=1257861
https://bugzilla.mozilla.org/show_bug.cgi?id=1258562
https://bugzilla.mozilla.org/show_bug.cgi?id=1259482
https://bugzilla.mozilla.org/show_bug.cgi?id=1261776
https://bugzilla.mozilla.org/show_bug.cgi?id=2714650
https://bugzilla.mozilla.org/show_bug.cgi?id=870870
https://bugzilla.opensuse.org/show_bug.cgi?id=977333
https://bugzilla.opensuse.org/show_bug.cgi?id=977373
https://bugzilla.opensuse.org/show_bug.cgi?id=977375
https://bugzilla.opensuse.org/show_bug.cgi?id=977376
https://bugzilla.opensuse.org/show_bug.cgi?id=977377
https://bugzilla.opensuse.org/show_bug.cgi?id=977378
https://bugzilla.opensuse.org/show_bug.cgi?id=977379
https://bugzilla.opensuse.org/show_bug.cgi?id=977380
https://bugzilla.opensuse.org/show_bug.cgi?id=977381
https://bugzilla.opensuse.org/show_bug.cgi?id=977382
https://bugzilla.opensuse.org/show_bug.cgi?id=977384
插件详情
严重性: High
ID: 91069
文件名: openSUSE-2016-566.nasl
版本: 2.8
类型: local
代理: unix
发布时间: 2016/5/12
最近更新时间: 2021/1/19
支持的传感器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Nessus
风险信息
VPR
风险因素: Medium
分数: 6.7
CVSS v2
风险因素: Critical
基本分数: 10
矢量: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C
CVSS v3
风险因素: High
基本分数: 8.8
矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
漏洞信息
CPE: p-cpe:/a:novell:opensuse:mozilla-nss-sysinit-32bit, p-cpe:/a:novell:opensuse:mozilla-nss-sysinit-debuginfo, p-cpe:/a:novell:opensuse:mozilla-nss-sysinit-debuginfo-32bit, p-cpe:/a:novell:opensuse:mozilla-nss-tools, p-cpe:/a:novell:opensuse:mozilla-nss-tools-debuginfo, cpe:/o:novell:opensuse:13.1, p-cpe:/a:novell:opensuse:mozillafirefox, p-cpe:/a:novell:opensuse:mozillafirefox-branding-upstream, p-cpe:/a:novell:opensuse:mozillafirefox-buildsymbols, p-cpe:/a:novell:opensuse:mozillafirefox-debuginfo, p-cpe:/a:novell:opensuse:mozillafirefox-debugsource, p-cpe:/a:novell:opensuse:mozillafirefox-devel, p-cpe:/a:novell:opensuse:mozillafirefox-translations-common, p-cpe:/a:novell:opensuse:mozillafirefox-translations-other, p-cpe:/a:novell:opensuse:libfreebl3, p-cpe:/a:novell:opensuse:libfreebl3-32bit, p-cpe:/a:novell:opensuse:libfreebl3-debuginfo, p-cpe:/a:novell:opensuse:libfreebl3-debuginfo-32bit, p-cpe:/a:novell:opensuse:libsoftokn3, p-cpe:/a:novell:opensuse:libsoftokn3-32bit, p-cpe:/a:novell:opensuse:libsoftokn3-debuginfo, p-cpe:/a:novell:opensuse:libsoftokn3-debuginfo-32bit, p-cpe:/a:novell:opensuse:mozilla-nss, p-cpe:/a:novell:opensuse:mozilla-nss-32bit, p-cpe:/a:novell:opensuse:mozilla-nss-certs, p-cpe:/a:novell:opensuse:mozilla-nss-certs-32bit, p-cpe:/a:novell:opensuse:mozilla-nss-certs-debuginfo, p-cpe:/a:novell:opensuse:mozilla-nss-certs-debuginfo-32bit, p-cpe:/a:novell:opensuse:mozilla-nss-debuginfo, p-cpe:/a:novell:opensuse:mozilla-nss-debuginfo-32bit, p-cpe:/a:novell:opensuse:mozilla-nss-debugsource, p-cpe:/a:novell:opensuse:mozilla-nss-devel, p-cpe:/a:novell:opensuse:mozilla-nss-sysinit
必需的 KB 项: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list
补丁发布日期: 2016/5/6
漏洞发布日期: 2016/4/30
参考资料信息
CVE: CVE-2016-2804, CVE-2016-2806, CVE-2016-2807, CVE-2016-2808, CVE-2016-2809, CVE-2016-2810, CVE-2016-2811, CVE-2016-2812, CVE-2016-2813, CVE-2016-2814, CVE-2016-2816, CVE-2016-2817, CVE-2016-2820