openSUSE 安全更新:MozillaFirefox / mozilla-nss (openSUSE-2016-704)
high Nessus 插件 ID 91586
语言:
简介
远程 openSUSE 主机缺少安全更新。描述
此 Mozilla Firefox 47 更新修复了以下问题 (boo#983549):安全补丁:
- CVE-2016-2815/CVE-2016-2818:其他内存安全危害 (boo#983638 MFSA 2016-49)
- CVE-2016-2819:解析 HTML5 拆分时发生缓冲区溢出 (boo#983655 MFSA 2016-50)
- CVE-2016-2821:从可编辑内容的文档中删除表时发生释放后使用错误 (boo#983653 MFSA 2016-51)
- CVE-2016-2822:通过 SELECT 元素进行地址栏欺骗 (boo#983652 MFSA 2016-52)
- CVE-2016-2824:WebGL 着色器发生越界写入问题 (boo#983651 MFSA 2016-53)
- CVE-2016-2825:通过利用数据 URI 设置 location.host 时发生部分同源策略问题 (boo#983649 MFSA 2016-54)
- CVE-2016-2828:回收池破坏后在 WebGL 操作中使用纹理时发生释放后使用错误 (boo#983646 MFSA 2016-56)
- CVE-2016-2829:权限通知上显示不正确的图标 (boo#983644 MFSA 2016-57)
- CVE-2016-2831:在没有用户权限的情况下进入全屏且持续锁定指针 (boo#983643 MFSA 2016-58)
- CVE-2016-2832:已禁用的插件通过 CSS 伪类泄露信息 (boo#983632 MFSA 2016-59)
- CVE-2016-2833:Java 小程序绕过 CSP 保护 (boo#983640 MFSA 2016-60)
Mozilla NSS 已更新到 3.23,修复了以下问题:
- CVE-2016-2834:内存安全缺陷 (boo#983639 MFSA-2016-61) 包含以下非安全变更:
- 针对使用快速机器的用户启用 VP9 视频编解码器
- 如果未安装 Flash,现在可通过 HTML5 视频播放内嵌 YouTube 视频
- 从智能手机或其他计算机的侧边栏查看和搜索打开的选项卡
- 允许 https 资源的无缓存向后/向前导航
包括以下封装变更:
- boo#981695:清除配置选项,尤其是删除 FF 已淘汰的 GStreamer 支持
- boo#980384:通过 x86_64 上的 PIE 和完整 relro 进行构建
提供以下新功能:
- 现在支持 ChaCha20/Poly1305 加密和 TLS 加密套件
- 已重新排序 TLS 握手中发送的 TLS 扩展列表,提高扩展主密钥与服务器的兼容性
解决方案
更新受影响的 MozillaFirefox / mozilla-nss 程序包。另见
https://bugzilla.opensuse.org/show_bug.cgi?id=980384
https://bugzilla.opensuse.org/show_bug.cgi?id=981695
https://bugzilla.opensuse.org/show_bug.cgi?id=983549
https://bugzilla.opensuse.org/show_bug.cgi?id=983632
https://bugzilla.opensuse.org/show_bug.cgi?id=983638
https://bugzilla.opensuse.org/show_bug.cgi?id=983639
https://bugzilla.opensuse.org/show_bug.cgi?id=983640
https://bugzilla.opensuse.org/show_bug.cgi?id=983643
https://bugzilla.opensuse.org/show_bug.cgi?id=983644
https://bugzilla.opensuse.org/show_bug.cgi?id=983646
https://bugzilla.opensuse.org/show_bug.cgi?id=983649
https://bugzilla.opensuse.org/show_bug.cgi?id=983651
https://bugzilla.opensuse.org/show_bug.cgi?id=983652
插件详情
严重性: High
ID: 91586
文件名: openSUSE-2016-704.nasl
版本: 2.11
类型: local
代理: unix
发布时间: 2016/6/14
最近更新时间: 2021/1/19
支持的传感器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Nessus
风险信息
VPR
风险因素: High
分数: 8.9
CVSS v2
风险因素: High
基本分数: 9.3
时间分数: 8.1
矢量: CVSS2#AV:N/AC:M/Au:N/C:C/I:C/A:C
CVSS v3
风险因素: High
基本分数: 8.8
时间分数: 8.4
矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
时间矢量: CVSS:3.0/E:H/RL:O/RC:C
漏洞信息
CPE: p-cpe:/a:novell:opensuse:mozilla-nss-sysinit-debuginfo-32bit, p-cpe:/a:novell:opensuse:mozilla-nss-tools, p-cpe:/a:novell:opensuse:mozilla-nss-tools-debuginfo, cpe:/o:novell:opensuse:13.2, cpe:/o:novell:opensuse:42.1, p-cpe:/a:novell:opensuse:mozillafirefox, p-cpe:/a:novell:opensuse:mozillafirefox-branding-upstream, p-cpe:/a:novell:opensuse:mozillafirefox-buildsymbols, p-cpe:/a:novell:opensuse:mozillafirefox-debuginfo, p-cpe:/a:novell:opensuse:mozillafirefox-debugsource, p-cpe:/a:novell:opensuse:mozillafirefox-devel, p-cpe:/a:novell:opensuse:mozillafirefox-translations-common, p-cpe:/a:novell:opensuse:mozillafirefox-translations-other, p-cpe:/a:novell:opensuse:libfreebl3, p-cpe:/a:novell:opensuse:libfreebl3-32bit, p-cpe:/a:novell:opensuse:libfreebl3-debuginfo, p-cpe:/a:novell:opensuse:libfreebl3-debuginfo-32bit, p-cpe:/a:novell:opensuse:libsoftokn3, p-cpe:/a:novell:opensuse:libsoftokn3-32bit, p-cpe:/a:novell:opensuse:libsoftokn3-debuginfo, p-cpe:/a:novell:opensuse:libsoftokn3-debuginfo-32bit, p-cpe:/a:novell:opensuse:mozilla-nss, p-cpe:/a:novell:opensuse:mozilla-nss-32bit, p-cpe:/a:novell:opensuse:mozilla-nss-certs, p-cpe:/a:novell:opensuse:mozilla-nss-certs-32bit, p-cpe:/a:novell:opensuse:mozilla-nss-certs-debuginfo, p-cpe:/a:novell:opensuse:mozilla-nss-certs-debuginfo-32bit, p-cpe:/a:novell:opensuse:mozilla-nss-debuginfo, p-cpe:/a:novell:opensuse:mozilla-nss-debuginfo-32bit, p-cpe:/a:novell:opensuse:mozilla-nss-debugsource, p-cpe:/a:novell:opensuse:mozilla-nss-devel, p-cpe:/a:novell:opensuse:mozilla-nss-sysinit, p-cpe:/a:novell:opensuse:mozilla-nss-sysinit-32bit, p-cpe:/a:novell:opensuse:mozilla-nss-sysinit-debuginfo
必需的 KB 项: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list
可利用: true
易利用性: Exploits are available
补丁发布日期: 2016/6/11
参考资料信息
CVE: CVE-2016-2815, CVE-2016-2818, CVE-2016-2819, CVE-2016-2821, CVE-2016-2822, CVE-2016-2824, CVE-2016-2825, CVE-2016-2828, CVE-2016-2829, CVE-2016-2831, CVE-2016-2832, CVE-2016-2833, CVE-2016-2834