Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
(AV:N/AC:L/Au:N/C:C/I:C/A:C)
Производитель ПО
Наименование ПО
libfreebl3
(any)
libfreebl3-32bit
(any)
MozillaFirefox
(any)
MozillaFirefox-branding-SLED
(any)
MozillaFirefox-translations
(any)
mozilla-nspr
(any)
mozilla-nspr-32bit
(any)
mozilla-nspr-devel
(any)
mozilla-nss
(any)
mozilla-nss-32bit
(any)
mozilla-nss-devel
(any)
mozilla-nss-tools
(any)
Описание
Обновление MozillaFirefox и mozilla-nss, устраняющее несколько уязвимостей.
Обновление MozillaFirefox, устраняющее следующие уязвимости:
* MFSA 2014-34/CVE-2014-1518 Различные угрозы безопасности памяти.
* MFSA 2014-37/CVE-2014-1523 Чтение за пределами границ при декодировании JPG-изображений.
* MFSA 2014-38/CVE-2014-1524 Переполнение буфера при использовании объектов, не являющихся XBL-объектами, в качестве XBL-объектов.
* MFSA 2014-42/CVE-2014-1529 Повышение привилегий при помощи Web Notification API.
* MFSA 2014-43/CVE-2014-1530 Межсайтовое выполнение сценариев (XSS) с использованием истории посещений.
* MFSA 2014-44/CVE-2014-1531 Использование после освобождения в imgLoader при изменении размера изображений
* MFSA 2014-46/CVE-2014-1532 Использование после освобождения в nsHostResolver.
Обновление Mozilla NSS
* требуется для Firefox 29
* CVE-2014-1492 В групповых сертификатах, групповые символы не должны встраиваться в U-лейбл интернационализованного доменного имени. См. последний пункт RFC 6125, Раздел 7.2.
* Обновление корневых сертификатов.
Обновление MozillaFirefox, устраняющее следующие уязвимости:
* MFSA 2014-34/CVE-2014-1518 Различные угрозы безопасности памяти.
* MFSA 2014-37/CVE-2014-1523 Чтение за пределами границ при декодировании JPG-изображений.
* MFSA 2014-38/CVE-2014-1524 Переполнение буфера при использовании объектов, не являющихся XBL-объектами, в качестве XBL-объектов.
* MFSA 2014-42/CVE-2014-1529 Повышение привилегий при помощи Web Notification API.
* MFSA 2014-43/CVE-2014-1530 Межсайтовое выполнение сценариев (XSS) с использованием истории посещений.
* MFSA 2014-44/CVE-2014-1531 Использование после освобождения в imgLoader при изменении размера изображений
* MFSA 2014-46/CVE-2014-1532 Использование после освобождения в nsHostResolver.
Обновление Mozilla NSS
* требуется для Firefox 29
* CVE-2014-1492 В групповых сертификатах, групповые символы не должны встраиваться в U-лейбл интернационализованного доменного имени. См. последний пункт RFC 6125, Раздел 7.2.
* Обновление корневых сертификатов.
Как исправить
Проблема может быть решена обновлением операционной системы до следующих версий пакетов в зависимости от архитектуры:
SUSE Linux Enterprise Server 11 SP2 LTSS:
i586, s390x, x86_64:
mozilla-nss - 3.16-0.3.1
mozilla-nspr - 4.10.4-0.3.1
mozilla-nss-tools - 3.16-0.3.1
MozillaFirefox - 24.5.0esr-0.3.1
MozillaFirefox-branding-SLED - 24-0.4.10.14
libfreebl3 - 3.16-0.3.1
mozilla-nspr-devel - 4.10.4-0.3.1
mozilla-nss-devel - 3.16-0.3.1
MozillaFirefox-translations - 24.5.0esr-0.3.1
SUSE Linux Enterprise Server 11 SP2 LTSS:
i586, s390x, x86_64:
mozilla-nss - 3.16-0.3.1
mozilla-nspr - 4.10.4-0.3.1
mozilla-nss-tools - 3.16-0.3.1
MozillaFirefox - 24.5.0esr-0.3.1
MozillaFirefox-branding-SLED - 24-0.4.10.14
libfreebl3 - 3.16-0.3.1
mozilla-nspr-devel - 4.10.4-0.3.1
mozilla-nss-devel - 3.16-0.3.1
MozillaFirefox-translations - 24.5.0esr-0.3.1
Ссылки
http://lists.opensuse.org/opensuse-security-announce/2014-05/msg00005.html
https://bugzilla.novell.com/865539
https://bugzilla.novell.com/869827
https://bugzilla.novell.com/875378
https://bugzilla.novell.com/875803
http://download.suse.com/patch/finder/?keywords=147e419c487f42538a6cd744c37b1186
Источник: CVE
Наименование: CVE-2014-1520
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-1520
Источник: CVE
Наименование: CVE-2014-1518
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-1518
Источник: CVE
Наименование: CVE-2014-1523
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-1523
Источник: CVE
Наименование: CVE-2014-1524
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-1524
Источник: CVE
Наименование: CVE-2014-1532
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-1532
Источник: CVE
Наименование: CVE-2014-1531
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-1531
Источник: CVE
Наименование: CVE-2014-1530
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-1530
Источник: CVE
Наименование: CVE-2014-1529
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-1529
https://bugzilla.novell.com/865539
https://bugzilla.novell.com/869827
https://bugzilla.novell.com/875378
https://bugzilla.novell.com/875803
http://download.suse.com/patch/finder/?keywords=147e419c487f42538a6cd744c37b1186
Источник: CVE
Наименование: CVE-2014-1520
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-1520
Источник: CVE
Наименование: CVE-2014-1518
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-1518
Источник: CVE
Наименование: CVE-2014-1523
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-1523
Источник: CVE
Наименование: CVE-2014-1524
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-1524
Источник: CVE
Наименование: CVE-2014-1532
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-1532
Источник: CVE
Наименование: CVE-2014-1531
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-1531
Источник: CVE
Наименование: CVE-2014-1530
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-1530
Источник: CVE
Наименование: CVE-2014-1529
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-1529