openSUSE 安全更新:MozillaFirefox / mozilla-nss (openSUSE-2016-714)

high Nessus 插件 ID 91589

简介

远程 openSUSE 主机缺少安全更新。

描述

此 Mozilla Firefox 47 更新修复了以下问题 (boo#983549):

安全补丁:

- CVE-2016-2815/CVE-2016-2818:其他内存安全危害 (boo#983638 MFSA 2016-49)

- CVE-2016-2819:解析 HTML5 拆分时发生缓冲区溢出 (boo#983655 MFSA 2016-50)

- CVE-2016-2821:从可编辑内容的文档中删除表时发生释放后使用错误 (boo#983653 MFSA 2016-51)

- CVE-2016-2822:通过 SELECT 元素进行地址栏欺骗 (boo#983652 MFSA 2016-52)

- CVE-2016-2824:WebGL 着色器发生越界写入问题 (boo#983651 MFSA 2016-53)

- CVE-2016-2825:通过利用数据 URI 设置 location.host 时发生部分同源策略问题 (boo#983649 MFSA 2016-54)

- CVE-2016-2828:回收池破坏后在 WebGL 操作中使用纹理时发生释放后使用错误 (boo#983646 MFSA 2016-56)

- CVE-2016-2829:权限通知上显示不正确的图标 (boo#983644 MFSA 2016-57)

- CVE-2016-2831:在没有用户权限的情况下进入全屏且持续锁定指针 (boo#983643 MFSA 2016-58)

- CVE-2016-2832:已禁用的插件通过 CSS 伪类泄露信息 (boo#983632 MFSA 2016-59)

- CVE-2016-2833:Java 小程序绕过 CSP 保护 (boo#983640 MFSA 2016-60)

Mozilla NSS 已更新到 3.23,修复了以下问题:

- CVE-2016-2834:内存安全缺陷 (boo#983639 MFSA-2016-61)

包含以下非安全性变更:

- 针对使用快速机器的用户启用 VP9 视频编解码器

- 如果未安装 Flash,现在可通过 HTML5 视频播放内嵌 YouTube 视频

- 从智能手机或其他计算机的侧边栏查看和搜索打开的选项卡

- 允许 https 资源的无缓存向后/向前导航

包括以下封装变更:

- boo#981695:清除配置选项,尤其是删除 FF 已淘汰的 GStreamer 支持

- boo#980384:通过 x86_64 上的 PIE 和完整 relro 进行构建

提供以下新功能:

- 现在支持 ChaCha20/Poly1305 加密和 TLS 加密套件

- 已重新排序 TLS 握手中发送的 TLS 扩展列表,提高扩展主密钥与服务器的兼容性

解决方案

更新受影响的 MozillaFirefox / mozilla-nss 程序包。

另见

https://bugzilla.mozilla.org/show_bug.cgi?id=1025267

https://bugzilla.mozilla.org/show_bug.cgi?id=1193093

https://bugzilla.mozilla.org/show_bug.cgi?id=1206283

https://bugzilla.mozilla.org/show_bug.cgi?id=1221620

https://bugzilla.mozilla.org/show_bug.cgi?id=1223810

https://bugzilla.mozilla.org/show_bug.cgi?id=1234147

https://bugzilla.mozilla.org/show_bug.cgi?id=1241034

https://bugzilla.mozilla.org/show_bug.cgi?id=1241037

https://bugzilla.mozilla.org/show_bug.cgi?id=1241896

https://bugzilla.mozilla.org/show_bug.cgi?id=1242798

https://bugzilla.mozilla.org/show_bug.cgi?id=1243466

https://bugzilla.mozilla.org/show_bug.cgi?id=1245528

https://bugzilla.mozilla.org/show_bug.cgi?id=1245743

https://bugzilla.mozilla.org/show_bug.cgi?id=1248329

https://bugzilla.mozilla.org/show_bug.cgi?id=1248580

https://bugzilla.mozilla.org/show_bug.cgi?id=1256493

https://bugzilla.mozilla.org/show_bug.cgi?id=1256739

https://bugzilla.mozilla.org/show_bug.cgi?id=1256968

https://bugzilla.mozilla.org/show_bug.cgi?id=1261230

https://bugzilla.mozilla.org/show_bug.cgi?id=1261752

https://bugzilla.mozilla.org/show_bug.cgi?id=1261933

https://bugzilla.mozilla.org/show_bug.cgi?id=1263384

https://bugzilla.mozilla.org/show_bug.cgi?id=1264300

https://bugzilla.mozilla.org/show_bug.cgi?id=1264575

https://bugzilla.mozilla.org/show_bug.cgi?id=1265577

https://bugzilla.mozilla.org/show_bug.cgi?id=1267130

https://bugzilla.mozilla.org/show_bug.cgi?id=1269729

https://bugzilla.mozilla.org/show_bug.cgi?id=1270381

https://bugzilla.mozilla.org/show_bug.cgi?id=1271037

https://bugzilla.mozilla.org/show_bug.cgi?id=1271460

https://bugzilla.mozilla.org/show_bug.cgi?id=1273129

https://bugzilla.mozilla.org/show_bug.cgi?id=1273202

https://bugzilla.mozilla.org/show_bug.cgi?id=1273701

https://bugzilla.mozilla.org/show_bug.cgi?id=908933

https://bugzilla.opensuse.org/show_bug.cgi?id=980384

https://bugzilla.opensuse.org/show_bug.cgi?id=981695

https://bugzilla.opensuse.org/show_bug.cgi?id=983549

https://bugzilla.opensuse.org/show_bug.cgi?id=983632

https://bugzilla.opensuse.org/show_bug.cgi?id=983638

https://bugzilla.opensuse.org/show_bug.cgi?id=983639

https://bugzilla.opensuse.org/show_bug.cgi?id=983640

https://bugzilla.opensuse.org/show_bug.cgi?id=983643

https://bugzilla.opensuse.org/show_bug.cgi?id=983644

https://bugzilla.opensuse.org/show_bug.cgi?id=983646

https://bugzilla.opensuse.org/show_bug.cgi?id=983649

https://bugzilla.opensuse.org/show_bug.cgi?id=983651

https://bugzilla.opensuse.org/show_bug.cgi?id=983652

https://bugzilla.opensuse.org/show_bug.cgi?id=983653

https://bugzilla.opensuse.org/show_bug.cgi?id=983655

插件详情

严重性: High

ID: 91589

文件名: openSUSE-2016-714.nasl

版本: 2.10

类型: local

代理: unix

发布时间: 2016/6/14

最近更新时间: 2021/1/19

支持的传感器: Nessus Agent

风险信息

VPR

风险因素: Critical

分数: 9.2

CVSS v2

风险因素: High

基本分数: 9.3

时间分数: 8.1

矢量: AV:N/AC:M/Au:N/C:C/I:C/A:C

时间矢量: E:H/RL:OF/RC:C

CVSS v3

风险因素: High

基本分数: 8.8

时间分数: 8.4

矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

时间矢量: E:H/RL:O/RC:C

漏洞信息

CPE: p-cpe:/a:novell:opensuse:MozillaFirefox, p-cpe:/a:novell:opensuse:MozillaFirefox-branding-upstream, p-cpe:/a:novell:opensuse:MozillaFirefox-buildsymbols, p-cpe:/a:novell:opensuse:MozillaFirefox-debuginfo, p-cpe:/a:novell:opensuse:MozillaFirefox-debugsource, p-cpe:/a:novell:opensuse:MozillaFirefox-devel, p-cpe:/a:novell:opensuse:MozillaFirefox-translations-common, p-cpe:/a:novell:opensuse:MozillaFirefox-translations-other, p-cpe:/a:novell:opensuse:libfreebl3, p-cpe:/a:novell:opensuse:libfreebl3-32bit, p-cpe:/a:novell:opensuse:libfreebl3-debuginfo, p-cpe:/a:novell:opensuse:libfreebl3-debuginfo-32bit, p-cpe:/a:novell:opensuse:libsoftokn3, p-cpe:/a:novell:opensuse:libsoftokn3-32bit, p-cpe:/a:novell:opensuse:libsoftokn3-debuginfo, p-cpe:/a:novell:opensuse:libsoftokn3-debuginfo-32bit, p-cpe:/a:novell:opensuse:mozilla-nss, p-cpe:/a:novell:opensuse:mozilla-nss-32bit, p-cpe:/a:novell:opensuse:mozilla-nss-certs, p-cpe:/a:novell:opensuse:mozilla-nss-certs-32bit, p-cpe:/a:novell:opensuse:mozilla-nss-certs-debuginfo, p-cpe:/a:novell:opensuse:mozilla-nss-certs-debuginfo-32bit, p-cpe:/a:novell:opensuse:mozilla-nss-debuginfo, p-cpe:/a:novell:opensuse:mozilla-nss-debuginfo-32bit, p-cpe:/a:novell:opensuse:mozilla-nss-debugsource, p-cpe:/a:novell:opensuse:mozilla-nss-devel, p-cpe:/a:novell:opensuse:mozilla-nss-sysinit, p-cpe:/a:novell:opensuse:mozilla-nss-sysinit-32bit, p-cpe:/a:novell:opensuse:mozilla-nss-sysinit-debuginfo, p-cpe:/a:novell:opensuse:mozilla-nss-sysinit-debuginfo-32bit, p-cpe:/a:novell:opensuse:mozilla-nss-tools, p-cpe:/a:novell:opensuse:mozilla-nss-tools-debuginfo, cpe:/o:novell:opensuse:13.1

必需的 KB 项: Host/local_checks_enabled, Host/SuSE/release, Host/SuSE/rpm-list, Host/cpu

可利用: true

易利用性: Exploits are available

补丁发布日期: 2016/6/11

参考资料信息

CVE: CVE-2016-1950, CVE-2016-2815, CVE-2016-2818, CVE-2016-2819, CVE-2016-2821, CVE-2016-2822, CVE-2016-2824, CVE-2016-2825, CVE-2016-2828, CVE-2016-2829, CVE-2016-2831, CVE-2016-2832, CVE-2016-2833, CVE-2016-2834