SUSE SLED12 / SLES12 安全更新:MozillaFirefox (SUSE-SU-2015:0076-1)

high Nessus 插件 ID 83666

简介

远程 SUSE 主机缺少一个或多个安全更新。

描述

此更新修复了 MozillaFirefox 中的以下安全问题:

- MFSA 2015-01/CVE-2014-8634/CVE-2014-8635 (bmo#1109889、bmo#1111737、bmo#1026774、bmo#1027300、bmo#1054538、bmo#1067473、bmo#1070962、bmo#1072130、bmo#1072871、bmo#1098583)各种内存安全危害 (rv:35.0 / rv:31.4)

- MFSA 2015-03/CVE-2014-8638 (bmo#1080987) sendBeacon 请求缺少 Origin 标头

- MFSA 2015-04/CVE-2014-8639 (bmo#1095859) 通过代理认证响应注入 Cookie

- MFSA 2015-06/CVE-2014-8641 (bmo#1108455) WebRTC 中的释放后使用

此外,Mozilla NSS 也更新到了 3.17.3,修复了:

- QuickDER 解码器现在暴力解码长度 (bmo#1064670/CVE-2014-1569)

- 已向 ssltap 和 tstclnt 实用工具增加了对 TLS_FALLBACK_SCSV 的支持

- CA 证书中的变更

请注意,Tenable Network Security 已直接从 SUSE 安全公告中提取上述描述块。Tenable 已尝试在不引入其他问题的情况下尽可能进行了自动整理和排版。

解决方案

请使用 YaST online_update 安装此 SUSE 安全更新。
或者,可以运行为产品列出的命令:

SUSE Linux Enterprise Software Development Kit 12:

zypper in -t patch SUSE-SLE-SDK-12-2015-26

SUSE Linux Enterprise Server 12:

zypper in -t patch SUSE-SLE-SERVER-12-2015-26

SUSE Linux Enterprise Desktop 12:

zypper in -t patch SUSE-SLE-DESKTOP-12-2015-26

要使系统保持最新状态,请使用“zypper 修补程序”。

另见

https://bugzilla.suse.com/show_bug.cgi?id=909563

https://bugzilla.suse.com/show_bug.cgi?id=910647

https://bugzilla.suse.com/show_bug.cgi?id=910669

https://www.suse.com/security/cve/CVE-2014-1569/

https://www.suse.com/security/cve/CVE-2014-8634/

https://www.suse.com/security/cve/CVE-2014-8635/

https://www.suse.com/security/cve/CVE-2014-8638/

https://www.suse.com/security/cve/CVE-2014-8639/

https://www.suse.com/security/cve/CVE-2014-8641/

http://www.nessus.org/u?5f1bf06b

插件详情

严重性: High

ID: 83666

文件名: suse_SU-2015-0076-1.nasl

版本: 2.10

类型: local

代理: unix

发布时间: 2015/5/20

最近更新时间: 2021/1/6

支持的传感器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus

风险信息

VPR

风险因素: Medium

分数: 6.3

CVSS v2

风险因素: High

基本分数: 7.5

时间分数: 5.5

矢量: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P

漏洞信息

CPE: cpe:/o:novell:suse_linux:12, p-cpe:/a:novell:suse_linux:mozillafirefox-translations, p-cpe:/a:novell:suse_linux:libsoftokn3-debuginfo, p-cpe:/a:novell:suse_linux:mozillafirefox-debugsource, p-cpe:/a:novell:suse_linux:mozilla-nss-debuginfo, p-cpe:/a:novell:suse_linux:mozilla-nss-tools, p-cpe:/a:novell:suse_linux:libfreebl3, p-cpe:/a:novell:suse_linux:mozilla-nss-tools-debuginfo, p-cpe:/a:novell:suse_linux:mozilla-nss-debugsource, p-cpe:/a:novell:suse_linux:mozillafirefox-debuginfo, p-cpe:/a:novell:suse_linux:libfreebl3-debuginfo, p-cpe:/a:novell:suse_linux:mozilla-nss-certs, p-cpe:/a:novell:suse_linux:libfreebl3-hmac, p-cpe:/a:novell:suse_linux:libsoftokn3, p-cpe:/a:novell:suse_linux:mozilla-nss, p-cpe:/a:novell:suse_linux:mozilla-nss-certs-debuginfo, p-cpe:/a:novell:suse_linux:libsoftokn3-hmac, p-cpe:/a:novell:suse_linux:mozillafirefox

必需的 KB 项: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list

易利用性: No known exploits are available

补丁发布日期: 2015/1/19

漏洞发布日期: 2014/12/15

参考资料信息

CVE: CVE-2014-1569, CVE-2014-8634, CVE-2014-8635, CVE-2014-8638, CVE-2014-8639, CVE-2014-8641

BID: 71675, 72044, 72046, 72047, 72049, 72050