openSUSE 安全更新:MozillaFirefox / mozilla-nss (openSUSE-2016-960)

critical Nessus 插件 ID 92853

简介

远程 openSUSE 主机缺少安全更新。

描述

Mozilla Firefox 已更新到 48.0,修复了安全问题、缺陷并提供多种改善功能。

包含以下重大变更:

- 对某些用户启用进程分离 (e10s) 功能

- 系统将不会加载未经过 Mozilla 验证和签署的附加组件

- WebRTC 增强功能

- 已使用 Rust 编程语言重新开发媒体解析器

- 通过快速的 Skia 支持提供更优异的 Canvas 性能

- 现在需要 NSS 3.24

修复了以下安全问题:(boo#991809)

- CVE-2016-2835/CVE-2016-2836:其他内存安全危害

- CVE-2016-2830:关闭页面时 Favicon 网络连接会持续

- CVE-2016-2838:渲染具有双向内容的 SVG 时发生缓冲区溢出

- CVE-2016-2839:Cairo 渲染因 FFmpeg 0.10 的内存分配问题而崩溃

- CVE-2016-5251:通过含有畸形/无效媒体类型的数据 URL 欺骗位置栏

- CVE-2016-5252:2D 图形渲染期间发生堆栈下溢

- CVE-2016-0718:在 Expat 库中解析 XML 期间出现越界读取

- CVE-2016-5254:使用 alt 键和顶层菜单时存在释放后使用问题

- CVE-2016-5255:JavaScript 中的增量垃圾收集崩溃

- CVE-2016-5258:WebRTC 会话关闭期间 DTLS 存在释放后使用问题

- CVE-2016-5259:含有嵌套同步事件的服务工作线程中存在释放后使用问题

- CVE-2016-5260:窗体输入类型从密码变更为文本,可将纯文本密码存储在会话还原文件中

- CVE-2016-5261:数据缓冲期间 WebSockets 中发生整数溢出

- CVE-2016-5262:marquee 标签上的脚本可在沙盒 iframe 中执行

- CVE-2016-2837:ClearKey 内容解密模块 (CDM) 在视频播放期间发生缓冲区溢出

- CVE-2016-5263:显示转换中的类型混淆

- CVE-2016-5264:应用 SVG 效果时发生释放后使用问题

- CVE-2016-5265:使用本地 HTML 文件和已保存的快捷方式文件时发生同源策略违反情况

- CVE-2016-5266:通过拖放泄露信息和操纵本地文件

- CVE-2016-5268:通过将文本注入内部错误页面中来发动欺骗攻击

- CVE-2016-5250:页面导航期间通过 Resource Timing API 泄露信息

包含以下非安全性变更:

- AppData 描述和屏幕截图已更新。

- 修复 i586 上的 Firefox 启动时崩溃 (boo#986541)

- Selenium WebDriver 可能造成 Firefox 在启动时崩溃

- 修复 Leap 42.2 中使用的 gcc/binutils 组合的版本问题 (boo#984637)

- 修复在 48 位 va aarch64 上运行 (boo#984126)

- 修复 KDE 会话底下的 XUL 对话框按钮 (boo#984403)

Mozilla NSS 已更新到 3.24 版作为依赖项。

mozilla-nss 中的更改:

- NSS softoken 已依据最新的 NIST 指导更新

- NSS softoken 已更新,以允许 NSS 在 FIPS 级别 1(无密码)运行

- 多个添加和弃用的函数

- 删除多数与 SSL v2 相关的代码,包括主动发送 SSLv2 兼容客户端 hello 的功能。

- 防范 Cachebleed 攻击。

- 禁用对 DTLS 压缩的支持。

- 改善对 TLS 1.3 的支持。其中包括对 DTLS 1.3 的支持。(实验性质)

解决方案

更新受影响的 MozillaFirefox / mozilla-nss 程序包。

另见

https://bugzilla.opensuse.org/show_bug.cgi?id=984126

https://bugzilla.opensuse.org/show_bug.cgi?id=984403

https://bugzilla.opensuse.org/show_bug.cgi?id=984637

https://bugzilla.opensuse.org/show_bug.cgi?id=986541

https://bugzilla.opensuse.org/show_bug.cgi?id=991809

插件详情

严重性: Critical

ID: 92853

文件名: openSUSE-2016-960.nasl

版本: 2.8

类型: local

代理: unix

发布时间: 2016/8/11

最近更新时间: 2021/1/19

支持的传感器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Nessus

风险信息

VPR

风险因素: High

分数: 7.4

CVSS v2

风险因素: High

基本分数: 7.5

矢量: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P

CVSS v3

风险因素: Critical

基本分数: 9.8

矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

漏洞信息

CPE: p-cpe:/a:novell:opensuse:mozillafirefox-translations-other, p-cpe:/a:novell:opensuse:mozilla-nss-certs-debuginfo-32bit, p-cpe:/a:novell:opensuse:libfreebl3-debuginfo, p-cpe:/a:novell:opensuse:mozilla-nss-certs-32bit, p-cpe:/a:novell:opensuse:mozilla-nss-certs-debuginfo, p-cpe:/a:novell:opensuse:libfreebl3, p-cpe:/a:novell:opensuse:mozilla-nss-certs, p-cpe:/a:novell:opensuse:mozilla-nss-tools, p-cpe:/a:novell:opensuse:libsoftokn3, p-cpe:/a:novell:opensuse:mozilla-nss-sysinit-32bit, p-cpe:/a:novell:opensuse:mozilla-nss-debuginfo-32bit, p-cpe:/a:novell:opensuse:mozillafirefox, p-cpe:/a:novell:opensuse:libsoftokn3-debuginfo, p-cpe:/a:novell:opensuse:mozilla-nss-sysinit-debuginfo, p-cpe:/a:novell:opensuse:libsoftokn3-debuginfo-32bit, p-cpe:/a:novell:opensuse:mozilla-nss-debugsource, p-cpe:/a:novell:opensuse:mozilla-nss-devel, p-cpe:/a:novell:opensuse:mozillafirefox-debugsource, p-cpe:/a:novell:opensuse:libfreebl3-debuginfo-32bit, p-cpe:/a:novell:opensuse:mozillafirefox-debuginfo, p-cpe:/a:novell:opensuse:mozilla-nss-debuginfo, cpe:/o:novell:opensuse:13.1, p-cpe:/a:novell:opensuse:mozilla-nss-sysinit-debuginfo-32bit, p-cpe:/a:novell:opensuse:mozilla-nss-sysinit, p-cpe:/a:novell:opensuse:mozillafirefox-buildsymbols, p-cpe:/a:novell:opensuse:mozillafirefox-devel, p-cpe:/a:novell:opensuse:libsoftokn3-32bit, p-cpe:/a:novell:opensuse:mozilla-nss-tools-debuginfo, p-cpe:/a:novell:opensuse:mozillafirefox-branding-upstream, p-cpe:/a:novell:opensuse:libfreebl3-32bit, p-cpe:/a:novell:opensuse:mozilla-nss, p-cpe:/a:novell:opensuse:mozillafirefox-translations-common, p-cpe:/a:novell:opensuse:mozilla-nss-32bit

必需的 KB 项: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list

补丁发布日期: 2016/8/10

参考资料信息

CVE: CVE-2016-0718, CVE-2016-2830, CVE-2016-2835, CVE-2016-2836, CVE-2016-2837, CVE-2016-2838, CVE-2016-2839, CVE-2016-5250, CVE-2016-5251, CVE-2016-5252, CVE-2016-5254, CVE-2016-5255, CVE-2016-5258, CVE-2016-5259, CVE-2016-5260, CVE-2016-5261, CVE-2016-5262, CVE-2016-5263, CVE-2016-5264, CVE-2016-5265, CVE-2016-5266, CVE-2016-5268