openSUSE 安全更新:MozillaFirefox / mozilla-nss (openSUSE-2016-541)

high Nessus 插件 ID 90932

简介

远程 openSUSE 主机缺少安全更新。

描述

此 Mozilla Firefox 46.0 更新修复了多个安全问题和缺陷 (boo#977333)。

修复了以下漏洞:

- CVE-2016-2804:其他内存安全危害 - MFSA 2016-39 (boo#977373)

- CVE-2016-2806:其他内存安全危害 - MFSA 2016-39 (boo#977375)

- CVE-2016-2807:其他内存安全危害 - MFSA 2016-39 (boo#977376)

- CVE-2016-2808:通过 JavaScript.watch() 写入无效的 HashMap 条目 - MFSA 2016-47 (boo#977386)

- CVE-2016-2811:服务工作线程中的释放后使用 - MFSA 2016-42 (boo#977379)

- CVE-2016-2812:服务工作线程中的缓冲区溢出 - MFSA 2016-42 (boo#977379)

- CVE-2016-2814:libstagefright 中因 CENC 偏移发生的缓冲区溢出 - MFSA 2016-44 (boo#977381)

- CVE-2016-2816:CSP 未应用到通过 multipart/x-mixed-replace 发送的页面 - MFSA 2016-45 (boo#977382)

- CVE-2016-2817:通过 Web 扩展中的 chrome.tabs.update API 提升权限 - MFSA 2016-46 (boo#977384)

- CVE-2016-2820:Firefox 健康状况报告可接收来自不受信任域的事件 - MFSA 2016-48 (boo#977388)

包含以下其他变更:

- 提高了 JavaScript Just In Time (JIT) 编译器的安全性

- WebRTC 补丁可改善性能和稳定性

- 添加了对 document.elementsFromPoint 的支持

- 添加了对 Web Crypto API 的 HKDF 支持

包含下列来自 Mozilla Firefox 45.0.2 的变更:

- 修复当第三方 Cookie 遭阻断时影响 Cookie 标头的一个问题

- 修复会影响图像标签的 srcset 属性的一个 Web 兼容性回归

- 修复会影响使用 Media Source Extension 播放视频的一个崩溃

- 修复会影响某些特定上传的一个回归

- 修复与部分 Gecko 应用程序(例如 Thunderbird)的某些旧版本的复制与粘贴相关的一个回归

包含下列来自 Mozilla Firefox 45.0.2 的变更:

- 修复会造成搜索引擎设置在某些上下文中会丢失的一个回归

- 恢复非标准的 jar: URI 以修复 IBM iNotes 中的一个回归

- XSLTProcessor.importStylesheet 在使用导入时失败

- 修复可造成搜索提供程序列表显示为空白的一个问题

- 修复使用位置栏时的一个回归 (bmo#1254503)

- 修复 Accept third-party cookies: 设置为 Never 时的某些加载问题

- 已禁用 Graphite 字型库

最低要求提高为 NSPR 4.12 和 NSS 3.22.3。

作为 Mozilla Firefox 46.0 的依赖项,Mozilla NSS 已更新到 3.22.3,包含以下变更:

- 提高 TLS 扩展主密钥的兼容性,不在握手结束前发送空 TLS 扩展 (bmo#1243641)

- 现在支持 RSA-PSS 签名

- 现在支持基于哈希而不是 SHA-1 的伪随机函数

- 在 NSS 上强制执行来自配置文件的外部策略

解决方案

更新受影响的 MozillaFirefox / mozilla-nss 程序包。

另见

https://bugzilla.opensuse.org/show_bug.cgi?id=977333

https://bugzilla.opensuse.org/show_bug.cgi?id=977373

https://bugzilla.opensuse.org/show_bug.cgi?id=977375

https://bugzilla.opensuse.org/show_bug.cgi?id=977376

https://bugzilla.opensuse.org/show_bug.cgi?id=977379

https://bugzilla.opensuse.org/show_bug.cgi?id=977381

https://bugzilla.opensuse.org/show_bug.cgi?id=977382

https://bugzilla.opensuse.org/show_bug.cgi?id=977384

https://bugzilla.opensuse.org/show_bug.cgi?id=977386

https://bugzilla.opensuse.org/show_bug.cgi?id=977388

插件详情

严重性: High

ID: 90932

文件名: openSUSE-2016-541.nasl

版本: 1.6

类型: local

代理: unix

发布时间: 2016/5/6

最近更新时间: 2021/1/19

支持的传感器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Nessus

风险信息

VPR

风险因素: High

分数: 7.4

CVSS v2

风险因素: Critical

基本分数: 10

矢量: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

CVSS v3

风险因素: High

基本分数: 8.8

矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

漏洞信息

CPE: p-cpe:/a:novell:opensuse:mozillafirefox-translations-other, p-cpe:/a:novell:opensuse:mozilla-nss-certs-debuginfo-32bit, p-cpe:/a:novell:opensuse:libfreebl3-debuginfo, p-cpe:/a:novell:opensuse:mozilla-nss-certs-32bit, p-cpe:/a:novell:opensuse:mozilla-nss-certs-debuginfo, p-cpe:/a:novell:opensuse:libfreebl3, p-cpe:/a:novell:opensuse:mozilla-nss-certs, p-cpe:/a:novell:opensuse:mozilla-nss-tools, p-cpe:/a:novell:opensuse:libsoftokn3, p-cpe:/a:novell:opensuse:mozilla-nss-sysinit-32bit, p-cpe:/a:novell:opensuse:mozilla-nss-debuginfo-32bit, p-cpe:/a:novell:opensuse:mozillafirefox, p-cpe:/a:novell:opensuse:libsoftokn3-debuginfo, p-cpe:/a:novell:opensuse:mozilla-nss-sysinit-debuginfo, p-cpe:/a:novell:opensuse:libsoftokn3-debuginfo-32bit, p-cpe:/a:novell:opensuse:mozilla-nss-debugsource, cpe:/o:novell:opensuse:42.1, p-cpe:/a:novell:opensuse:mozilla-nss-devel, p-cpe:/a:novell:opensuse:mozillafirefox-debugsource, p-cpe:/a:novell:opensuse:libfreebl3-debuginfo-32bit, p-cpe:/a:novell:opensuse:mozillafirefox-debuginfo, p-cpe:/a:novell:opensuse:mozilla-nss-debuginfo, cpe:/o:novell:opensuse:13.2, p-cpe:/a:novell:opensuse:mozilla-nss-sysinit-debuginfo-32bit, p-cpe:/a:novell:opensuse:mozilla-nss-sysinit, p-cpe:/a:novell:opensuse:mozillafirefox-buildsymbols, p-cpe:/a:novell:opensuse:mozillafirefox-devel, p-cpe:/a:novell:opensuse:libsoftokn3-32bit, p-cpe:/a:novell:opensuse:mozilla-nss-tools-debuginfo, p-cpe:/a:novell:opensuse:mozillafirefox-branding-upstream, p-cpe:/a:novell:opensuse:libfreebl3-32bit, p-cpe:/a:novell:opensuse:mozilla-nss, p-cpe:/a:novell:opensuse:mozillafirefox-translations-common, p-cpe:/a:novell:opensuse:mozilla-nss-32bit

必需的 KB 项: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list

补丁发布日期: 2016/5/4

参考资料信息

CVE: CVE-2016-2804, CVE-2016-2806, CVE-2016-2807, CVE-2016-2808, CVE-2016-2811, CVE-2016-2812, CVE-2016-2814, CVE-2016-2816, CVE-2016-2817, CVE-2016-2820