• Все разделы
  • Статьи
  • Медиа
  • Новости
  • Нормативные материалы
  • Конференции
  • Глоссарий

Уведомление безопасности openSUSE-SU-2014:0939-1: MozillaFirefox: Обновление Mozilla Firefox до версии 31

Главная Специалистам База уязвимостей Уведомление безопасности openSUSE-SU-2014:0939-1: MozillaFirefox: Обновление Mozilla Firefox до версии 31

Карточка уязвимости

Характеристики уязвимости

Уровень опасности
Оценка CVSS
(AV:N/AC:L/Au:N/C:C/I:C/A:C)
Производитель ПО
Описание
Обновление MozillaFirefox до версии 31, устраняющее следующие уязвимости и ошибки:

   * MFSA 2014-56/CVE-2014-1547/CVE-2014-1548 Различные угрозы безопасности памяти
   * MFSA 2014-57/CVE-2014-1549 (bmo#1020205) Переполнение буфера во время буферизации Web
     Audio для воспроизведения
   * MFSA 2014-58/CVE-2014-1550 (bmo#1020411) Использование после освобождения в Web Audio, вызванное некорректным порядком управляющих сообщений
   * MFSA 2014-60/CVE-2014-1561 (bmo#1000514, bmo#910375) Подмена событий окна диалога настройки панели инструментов
   * MFSA 2014-61/CVE-2014-1555 (bmo#1023121) Использование после освобождения при помощи события изменения состояния FireOnStateChange
   * MFSA 2014-62/CVE-2014-1556 (bmo#1028891) Аварийное завершение работы WebGL с использованием библиотеки Cesium JavaScript
   * MFSA 2014-63/CVE-2014-1544 (bmo#963150) Использование после освобождения с подделкой сертификатов в защищенной кэш-памяти (проблема решена благодаря требованию NSS 3.16.2)
   * MFSA 2014-64/CVE-2014-1557 (bmo#913805) Аварийное завершение работы в библиотеке Skia во время масштабирования изображений высокого качества
   * MFSA 2014-65/CVE-2014-1558/CVE-2014-1559/CVE-2014-1560 (bmo#1015973,
     bmo#1026022, bmo#997795) Прерывание обработки сертификата при помощи нестандартной кодировки символов
   * MFSA 2014-66/CVE-2014-1552 (bmo#985135) доступ из одного источника к песочнице IFRAME,  осуществляемый при помощи перенаправления

   Mozilla-nss обновлен до версии 3.16.3: Новые функции:
   * Функция CERT_GetGeneralNameTypeFromString (Данная функция уже существовала в версии
     NSS 3.16.2, однако, она не была отображена в открытом файле заголовка.)
     Существенные изменения:
   * Были отозваны следующие 1024-битные сертификаты Центра сертификации (CA certificates)
     - Сертификат безопасности сервера, выпущенный Центром сертификации Entrust.net
     - Сертификат GTE CyberTrust Global Root
     - Сертификат ValiCert Class 1 Policy Validation Authority
     - Сертификат ValiCert Class 2 Policy Validation Authority
     - Сертификат ValiCert Class 3 Policy Validation Authority
   * Также по запросу Центра сертификации был отозван следующий сертификат:
     - TDC Internet Root CA
   * Были добавлены следующие сертификаты:
     - Сертификаты, выданные Центром сертификации WoSign
     - CA 沃通根证书
     - DigiCert Assured ID Root G2
     - DigiCert Assured ID Root G3
     - DigiCert Global Root G2
     - DigiCert Global Root G3
     - DigiCert Trusted Root G4
     - QuoVadis Root CA 1 G3
     - QuoVadis Root CA 2 G3
     - QuoVadis Root CA 3 G3
   * Сведения о доверии были изменены для следующих сертификатов
     - Class 3 Public Primary Certification Authority
     - Class 3 Public Primary Certification Authority
     - Class 2 Public Primary Certification Authority - G2
     - VeriSign Class 2 Public Primary Certification Authority - G3
     - AC Raíz Certicámara S.A.
     - NetLock Uzleti (Class B) Tanusitvanykiado
     - NetLock Expressz (Class C) Tanusitvanykiado changes in 3.16.2 New
       functionality:
   * Поддержка DTLS 1.2.
   * На сервере добавлена поддержка расширения TLS для согласования протокола на прикладном уровне (ALPN).
   * Поддержка RSA-OEAP. Необходимо использовать новые функции PK11_PrivDecrypt с PK11_PubEncrypt с механизмом CKM_RSA_PKCS_OAEP.
   * Новый код сборки Intel AES для 32-разрядных и 64-разрядных систем Windows. Существенные изменения:
   * Команда btoa содержит суффикс -w в командной строке, отвечающий за перевод строки, таким образом вышеупомянутый суффикс позволяет осуществить перенос выходных данных в строки BEGIN/END
   * Команды certutil поддерживают дополнительные типы расширений альтернативных имен объекта.
   * Команда certutil поддерживает общие расширения сертификатов путем загрузки двоичных данных из файлов, сформированных с использованием внешних инструментов или изъятых из других существующих сертификатов и помещенных в файл.
   * Команда certutil поддерживает три новых спецификатора использования сертификата.
   * Команда pp поддерживает кодировку UTF-8 (-u).
   * В Linux-системах в NSS добавлены флаги компилятора -ffunction-sections -fdata-sections и флаг компоновщика --gc-sections, позволяющие отказаться от поддержки неиспользуемых функций. изменения в 3.16.1 Новые возможности:
   * В modutil добавлен флаг "ECC" для выбора модуля, используемого для операций шифрования на эллиптических кривых. Новые макросы
   * PUBLIC_MECH_ECC_FLAG флаг открытого механизма шифрования на эллиптических кривых (ECC)
   * SECMOD_ECC_FLAG флаг для внутреннего NSS-механизма шифрования на эллиптических кривых (ECC). Числовое значение данного макроса и PUBLIC_MECH_ECC_FLAG совпадает. Существенные изменения:
   * Установлены ограничения имени к корневому сертификату Агентства по сетевой и информационной безопасности Франции CA ANSSI (DCISS).
Как исправить
Проблема может быть решена обновлением операционной системы до следующих версий пакетов в зависимости от архитектуры:
openSUSE 13.1:
i586, x86_64:
mozilla-nss-certs-debuginfo - 3.16.3-27.1
MozillaFirefox-buildsymbols - 31.0-33.1
MozillaFirefox-translations-other - 31.0-33.1
mozilla-nss-debugsource - 3.16.3-27.1
mozilla-nss-tools-debuginfo - 3.16.3-27.1
MozillaFirefox - 31.0-33.1
libfreebl3 - 3.16.3-27.1
mozilla-nss-tools - 3.16.3-27.1
libfreebl3-debuginfo - 3.16.3-27.1
mozilla-nss-debuginfo - 3.16.3-27.1
mozilla-nss - 3.16.3-27.1
mozilla-nss-devel - 3.16.3-27.1
MozillaFirefox-debugsource - 31.0-33.1
MozillaFirefox-branding-upstream - 31.0-33.1
libsoftokn3-debuginfo - 3.16.3-27.1
MozillaFirefox-devel - 31.0-33.1
mozilla-nss-certs - 3.16.3-27.1
mozilla-nss-sysinit - 3.16.3-27.1
libsoftokn3 - 3.16.3-27.1
MozillaFirefox-debuginfo - 31.0-33.1
MozillaFirefox-translations-common - 31.0-33.1
mozilla-nss-sysinit-debuginfo - 3.16.3-27.1
openSUSE 12.3:
i586, x86_64:
mozilla-nss-certs - 3.16.3-1.43.1
mozilla-nss-certs-debuginfo - 3.16.3-1.43.1
libfreebl3-debuginfo - 3.16.3-1.43.1
MozillaFirefox-debugsource - 31.0-1.72.1
MozillaFirefox - 31.0-1.72.1
MozillaFirefox-translations-common - 31.0-1.72.1
mozilla-nss-tools-debuginfo - 3.16.3-1.43.1
MozillaFirefox-buildsymbols - 31.0-1.72.1
mozilla-nss-sysinit - 3.16.3-1.43.1
mozilla-nss - 3.16.3-1.43.1
MozillaFirefox-devel - 31.0-1.72.1
MozillaFirefox-debuginfo - 31.0-1.72.1
mozilla-nss-tools - 3.16.3-1.43.1
libfreebl3 - 3.16.3-1.43.1
mozilla-nss-devel - 3.16.3-1.43.1
mozilla-nss-sysinit-debuginfo - 3.16.3-1.43.1
libsoftokn3 - 3.16.3-1.43.1
MozillaFirefox-branding-upstream - 31.0-1.72.1
mozilla-nss-debugsource - 3.16.3-1.43.1
libsoftokn3-debuginfo - 3.16.3-1.43.1
MozillaFirefox-translations-other - 31.0-1.72.1
mozilla-nss-debuginfo - 3.16.3-1.43.1
Ссылки
http://lists.opensuse.org/opensuse-security-announce/2014-07/msg00020.html
https://bugzilla.novell.com/887746

Источник: CVE
Наименование: CVE-2014-1560
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-1560

Источник: CVE
Наименование: CVE-2014-1561
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-1561

Источник: CVE
Наименование: CVE-2014-1558
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-1558

Источник: CVE
Наименование: CVE-2014-1555
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-1555

Источник: CVE
Наименование: CVE-2014-1547
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-1547

Источник: CVE
Наименование: CVE-2014-1557
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-1557

Источник: CVE
Наименование: CVE-2014-1556
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-1556

Источник: CVE
Наименование: CVE-2014-1550
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-1550

Источник: CVE
Наименование: CVE-2014-1552
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-1552

Источник: CVE
Наименование: CVE-2014-1559
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-1559

Источник: CVE
Наименование: CVE-2014-1544
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-1544

Источник: CVE
Наименование: CVE-2014-1548
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-1548

Источник: CVE
Наименование: CVE-2014-1549
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-1549