Liebe Kolleginnen und Kollegen,
bitte beachten Sie die folgende Sicherheitsmeldung.
Historie:
Version 7 (02.02.2015):
Für die Distributionen openSUSE 13.1 und openSUSE 13.2 stehen
Sicherheitsupdates auf die SeaMonkey-Version 2.32 zur Verfügung, die
Schwachstelle CVE-2014-1569 wird dadurch nicht adressiert. Ein
Sicherheitsupdate auf Mozilla Firefox 31.4.0 ESR steht für die SUSE Linux
Enterprise 11 SP3 Produkte Software Development Kit, Server, Server für
VMware und Desktop bereit, welches die Schwachstellen CVE-2014-8635,
CVE-2014-8642 und CVE-2014-8643 nicht umfasst.
Version 6 (29.01.2015):
Für SUSE Linux Enterprise Server 10 SP4 LTSS, Server 11 SP2 LTSS und
Server 11 SP1 LTSS wurde Mozilla Firefox auf Release 31.4.0 ESR
aktualisiert; die Schwachstellen CVE-2014-8635, CVE-2014-8642 und
CVE-2014-8643 werden hierdurch nicht adressiert. Außerdem wurde Mozilla
NSS auf 3.17.3 aktualisiert, wodurch die Sicherheitslücke CVE-2014-1569
behoben und die Root-Zertifikatsliste aktualisiert wurde.
Version 5 (27.01.2015):
Für die Distributionen Ubuntu 14.10, 14.04 LTS und 12.04 LTS stehen neue
Sicherheitsupdates für Firefox zur Verfügung, um eine Regression zu
beheben, die mit dem Sicherheitsupdate USN-2458-1 eingeführt wurde. Diese
kann unter bestimmten Umständen das Laden von Webseiten scheitern lassen,
wenn diese ein Sicherheitskonzept (CSP – Content Security Policy)
verwenden.
Version 4 (19.01.2015):
Für die Distributionen Fedora 20, Fedora 21, openSUSE 13.1 und openSUSE
13.2 stehen Sicherheitsupdates für Firefox bereit.
Für die SUSE Linux Enterprise 12 Produkte Software Development Kit, Server
und Desktop stehen Sicherheitsupdates für Firefox bereit, die laut
Hersteller nur die Schwachstellen CVE-2014-1569, CVE-2014-8634,
CVE-2014-8635, CVE-2014-8638 CVE-2014-8639 und CVE-2014-8641 adressieren.
Die Schwachstelle CVE-2014-1569 ist nur für dieses SUSE Security Update
SUSE-SU-2015:0076-1 relevant.
Version 3 (15.01.2015):
Für die Distributionen Ubuntu 14.10, Ubuntu 14.04 LTS und Ubuntu 12.04 LTS
stehen Sicherheitsupdates für Firefox zur Verfügung, ebenso für die
Ubuntu-spezifische Firefox-Konfiguration ubufox.
Version 2 (14.01.2015):
Korrektur
Version 1 (14.01.2015):
Neues Advisory
Betroffene Software:
Mozilla Firefox < 35 Mozilla Firefox ESR < 31.4 Mozilla Network Security Services < 3.17.3 Mozilla SeaMonkey < 2.32 Mozilla Thunderbird < 31.4 Betroffene Plattformen: SUSE Software Development Kit 11 SP3 Enterprise SUSE Software Development Kit 12 Enterprise Apple Mac OS X Canonical Ubuntu Linux 12.04 Lts Canonical Ubuntu Linux 14.04 Lts Canonical Ubuntu Linux 14.10 GNU/Linux Microsoft Windows openSUSE 13.1 openSUSE 13.2 SUSE Linux Enterprise Desktop 11 SP3 SUSE Linux Enterprise Desktop 12 SUSE Linux Enterprise Server 10 SP4 LTSS SUSE Linux Enterprise Server 11 SP1 LTSS SUSE Linux Enterprise Server 11 SP2 LTSS SUSE Linux Enterprise Server 11 SP3 SUSE Linux Enterprise Server 11 SP3 VMware SUSE Linux Enterprise Server 12 Red Hat Fedora 20 Red Hat Fedora 21 Mehrere Schwachstellen in Mozilla Firefox, Firefox ESR, Seamonkey und Thunderbird ermöglichen in vielen Fällen einem entfernten, nicht authentifizierten Angreifer, beliebigen Programmcode mit den Rechten des Benutzers zur Ausführung zu bringen oder einen Denial-of-Service-Zustand zu bewirken. Andere Schwachstellen ermöglichen entweder das Ausspähen von Informationen oder das Umgehen von Sicherheitsvorkehrungen. Patch: Mozilla Foundation Security Advisory MFSA 2015-01 https://www.mozilla.org/en-US/security/advisories/mfsa2015-01/
Patch:
Mozilla Foundation Security Advisory MFSA 2015-02
https://www.mozilla.org/en-US/security/advisories/mfsa2015-02/
Patch:
Mozilla Foundation Security Advisory MFSA 2015-03
https://www.mozilla.org/en-US/security/advisories/mfsa2015-03/
Patch:
Mozilla Foundation Security Advisory MFSA 2015-04
https://www.mozilla.org/en-US/security/advisories/mfsa2015-04/
Patch:
Mozilla Foundation Security Advisory MFSA 2015-05
https://www.mozilla.org/en-US/security/advisories/mfsa2015-05/
Patch:
Mozilla Foundation Security Advisory MFSA 2015-06
https://www.mozilla.org/en-US/security/advisories/mfsa2015-06/
Patch:
Mozilla Foundation Security Advisory MFSA 2015-07
https://www.mozilla.org/en-US/security/advisories/mfsa2015-07/
Patch:
Mozilla Foundation Security Advisory MFSA 2015-08
https://www.mozilla.org/en-US/security/advisories/mfsa2015-08/
Patch:
Mozilla Foundation Security Advisory MFSA 2015-09
https://www.mozilla.org/en-US/security/advisories/mfsa2015-09/
Patch:
Ubuntu Security Notice USN-2458-1
http://www.ubuntu.com/usn/usn-2458-1/
Patch:
Ubuntu Security Notice USN-2458-2
http://www.ubuntu.com/usn/usn-2458-2/
Patch:
Fedora Security Update FEDORA-2015-0617
https://admin.fedoraproject.org/updates/FEDORA-2015-0617/firefox-35.0-2.fc21
Patch:
Fedora Security Update FEDORA-2015-0671
https://admin.fedoraproject.org/updates/FEDORA-2015-0671/firefox-35.0-2.fc20
Patch:
SUSE Security Update SUSE-SU-2015:0076-1
http://lists.opensuse.org/opensuse-security-announce/2015-01/msg00013.html
Patch:
openSUSE Security Update openSUSE-SU-2015:0077-1
http://lists.opensuse.org/opensuse-security-announce/2015-01/msg00014.html
Patch:
openSUSE Security Update openSUSE-SU-2015:0077-2
http://lists.opensuse.org/opensuse-updates/2015-01/msg00042.html
Patch:
Ubuntu Security Notice USN-2458-3
http://www.ubuntu.com/usn/usn-2458-3/
Patch:
SUSE Security Update SUSE-SU-2015:0173-1
http://lists.opensuse.org/opensuse-security-announce/2015-01/msg00033.html
Patch:
SUSE Security Update SUSE-SU-2015:0171-1
http://lists.opensuse.org/opensuse-security-announce/2015-01/msg00032.html
Patch:
openSUSE Security Update SUSE-SU-2015:0180-1
http://lists.opensuse.org/opensuse-security-announce/2015-01/msg00036.html
Patch:
openSUSE Security Update openSUSE-SU-2015:0192-1
http://lists.opensuse.org/opensuse-updates/2015-02/msg00008.html
CVE-2014-8643: Schwachstelle in Gecko Media Plugin ermöglicht das Umgehen
von Sicherheitsmaßnahmen
Eine Schwachstelle bei der Wiedergabe von h.264 Videos durch das Gecko Media
Plugin ermöglicht, durch nicht näher beschrieben Aktionen, das Ausbrechen
aus der Gecko Media Plugin Sandbox. Ein entfernter, nicht authentifizierter
Angreifer kann durch das Ausnutzen der Schwachstelle Sicherheitsmaßnahmen
umgehen. Die Schwachstelle betrifft nur die Windows Version des Gecko Media
Plugin.
CVE-2014-8642: Schwachstelle in Firefox und Seamonkey ermöglicht das Umgehen
von Sicherheitvorkehrungen
Eine Schwachstelle in Firefox / Seamonkey führt dazu, dass die Erweiterung
‘id-pkix-ocsp-nocheck’ bei der Entscheidung, ob einem OCSP-Responder
vertraut wird, nicht berücksichtigt wird. Dadurch ist es möglich, dass auch
ein zurückgezogenes Zertifikat akzeptiert wird. Ein entfernter, nicht
authentifizierter Angreifer kann Sicherheitsmaßnahmen umgehen.
CVE-2014-8641: Use-after-free-Schwachstelle in WebRTC-Implementierung
erlaubt Ausführen beliebigen Programmcodes
Eine Use-after-free-Schwachstelle in WebRTC-Implementierung in Mozilla
Firefox bevor 35.0, Firefox ESR 31.x bevor 31.4 und SeaMonkey bevor 2.32
besteht aufgrund der Art und Weise, wie Tracks behandelt werden. Ein
entfernter, nicht authentifizierter Angreifer kann diese Schwachstelle
ausnutzen, mittels präparierter Track-Daten, um beliebigen Programmcode zur
Ausführung zu bringen.
CVE-2014-8640: Schwachstelle in der Web Audio API-Implementierung erlaubt
Denial-of-Service
Die Funktion “mozilla::dom::AudioParamTimeline::AudioNodeInputValue” in der
Implementierung der Web Audio API in Mozilla Firefox bevor 35.0 und
SeaMonkey bevor 2.32 beschränkt Timeline-Operationen nicht korrekt. Ein
entfernter, nicht authentifizierter Angreifer kann diese Schwachstelle
ausnutzen, mittels eines präparierten API-Aufrufs, um einen
Denial-of-Service-Zustand (“uninitialized-memory read” und Absturz der
Applikation) herbeizuführen.
CVE-2014-8639: Schwachstelle in Mozilla-Anwendungen erlaubt Manipulation von
Daten
Mozilla Firefox bevor 35.0, Firefox ESR 31.x bevor 31.4, Thunderbird bevor
31.4 und SeaMonkey bevor 2.32 interpretieren Set-Cookie-Header innnerhalb
von HTTP-Antworten, die einen 407 Status Code enthalten (“Proxy
Authentication Required”), nicht korrekt. Ein entfernter, nicht
authentifizierter Angreifer, der einen HTTP Proxy-Server kontrolliert, kann
mittels einer solchen 407 Proxy Authentication-Antwort Cookies in die
ursprünglich angefragte Domain einschleusen, wodurch eine Session fixiert
werden kann (“session-fixation attack”).
CVE-2014-8638: Schwachstelle in der navigator.sendBeacon-Implementierung
erlaubt Cross-site-Request-Forgery (CSRF)
Die Implementierung von “navigator.sendBeacon()” in Mozilla Firefox bevor
35.0, Firefox ESR 31.x bevor 31.4, Thunderbird bevor 31.4 und SeaMonkey
bevor 2.32 übergeht den Cross-origin Resource Sharing (CORS) Header. Ein
entfernter, nicht authentifizierter Angreifer kann diese Schwachstelle
ausnutzen, mittels einer präparierten Webseite, um die beabsichtigten
CORS-Zugriffskontrollen zu umgehen und Cross-site-Request-Forgery
(CSRF)-Angriffe gegen Benutzer durchzuführen.
CVE-2014-8637: Schwachstelle in Firefox und Seamonkey erlaubt Ausspähen von
Infomationen
Mozilla Firefox bevor 35.0 und SeaMonkey bevor 2.32 initialisieren den
Speicher für BMP-Bilder nicht korrekt, wenn ein schädlich geformtes
Bitmap-Bild durch den Bitmap-Decoder innerhalb eines CANVAS-Elements
gerendert wird. Ein entfernter, nicht authentifizierter Angreifer kann diese
Schwachstelle ausnutzen, mittels eines präparierten BMP-Bildes in einer
Webseite, um sensible Informationen aus dem Prozessspeicher auszulesen.
CVE-2014-8636: Schwachstelle in der XrayWrapper-Implementierung erlaubt
Ausführen beliebigen Programmcodes
Die XrayWrapper-Implementierung in Mozilla Firefox bevor 35.0 und SeaMonkey
bevor 2.32 interagiert nicht korrekt mit Document Object Model
(DOM)-Objekten, die einen “named getter” haben. Ein entfernter, nicht
authentifizierter Angreifer kann diese Schwachstelle ausnutzen, mittels
präparierter Webinhalte, um einen XrayWrapper zu umgehen und beliebigen
JavaScript-Code mit Chrome-Privilegien ausführen zu lassen.
CVE-2014-8635: Schwachstellen in der Browser-Engine erlauben
Denial-of-Service
Mehrere nicht näher spezifizierte Schwachstellen in der Browser-Engine in
Mozilla Firefox bevor 35.0, Firefox ESR 31.x bevor 31.4 und SeaMonkey bevor
2.32 beeinträchten die Speichersicherheit. Ein entfernter, nicht
authentifizierter Angreifer kann diese Schwachstellen ausnutzen, um einen
Denial-of-Service-Zustand (Speicherkorruption und Absturz der Applikation)
herbeizuführen oder möglicherweise beliebigen Programmcode zur Ausführung zu
bringen.
CVE-2014-8634: Schwachstellen in der Browser-Engine erlauben
Denial-of-Service
Mehrere nicht näher spezifizierte Schwachstellen in der Browser-Engine in
Mozilla Firefox bevor 35.0, Firefox ESR 31.x bevor 31.4, Thunderbird bevor
31.4 und SeaMonkey bevor 2.32 beeinträchten die Speichersicherheit. Ein
entfernter, nicht authentifizierter Angreifer kann diese Schwachstellen
ausnutzen, um einen Denial-of-Service-Zustand (Speicherkorruption und
Absturz der Applikation) herbeizuführen oder möglicherweise beliebigen
Programmcode zur Ausführung zu bringen.
CVE-2014-1569: Schwachstelle in Mozilla Network Security Service
Die definite_length_decoder Funktion in lib/util/quickder.c von Mozilla
Network Security Services überprüft die Länge von ASN.1 Objekten in DER
Codierung nicht ausreichend. Ein entfernter, nicht authentifizierter
Angreifer kann dies ausnutzen, in dem er eine lange Byte-Folge für eine DER
Codierung sendet und beliebige Daten darin einschmuggelt. Dies wird
beispielsweise demonstriert durch die inkorrekte Bearbeitung der Codierung
einer beliebigen Länge 0x00 durch die SEC_QuickDERDecodeItem Funktion.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-0043/
Schwachstelle CVE-2014-1569 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-1569
Mozilla Foundation Security Advisory MFSA 2015-01:
https://www.mozilla.org/en-US/security/advisories/mfsa2015-01/
Mozilla Foundation Security Advisory MFSA 2015-02:
https://www.mozilla.org/en-US/security/advisories/mfsa2015-02/
Mozilla Foundation Security Advisory MFSA 2015-03:
https://www.mozilla.org/en-US/security/advisories/mfsa2015-03/
Mozilla Foundation Security Advisory MFSA 2015-04:
https://www.mozilla.org/en-US/security/advisories/mfsa2015-04/
Mozilla Foundation Security Advisory MFSA 2015-05:
https://www.mozilla.org/en-US/security/advisories/mfsa2015-05/
Mozilla Foundation Security Advisory MFSA 2015-06:
https://www.mozilla.org/en-US/security/advisories/mfsa2015-06/
Mozilla Foundation Security Advisory MFSA 2015-07:
https://www.mozilla.org/en-US/security/advisories/mfsa2015-07/
Mozilla Foundation Security Advisory MFSA 2015-08:
https://www.mozilla.org/en-US/security/advisories/mfsa2015-08/
Mozilla Foundation Security Advisory MFSA 2015-09:
https://www.mozilla.org/en-US/security/advisories/mfsa2015-09/
Schwachstelle CVE-2014-8634 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-8634
Schwachstelle CVE-2014-8635 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-8635
Schwachstelle CVE-2014-8636 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-8636
Schwachstelle CVE-2014-8637 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-8637
Schwachstelle CVE-2014-8638 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-8638
Schwachstelle CVE-2014-8639 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-8639
Schwachstelle CVE-2014-8640 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-8640
Schwachstelle CVE-2014-8641 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-8641
Schwachstelle CVE-2014-8642 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-8642
Schwachstelle CVE-2014-8643 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-8643
Ubuntu Security Notice USN-2458-1:
http://www.ubuntu.com/usn/usn-2458-1/
Ubuntu Security Notice USN-2458-2:
http://www.ubuntu.com/usn/usn-2458-2/
Fedora Security Update FEDORA-2015-0617:
https://admin.fedoraproject.org/updates/FEDORA-2015-0617/firefox-35.0-2.fc21
Fedora Security Update FEDORA-2015-0671:
https://admin.fedoraproject.org/updates/FEDORA-2015-0671/firefox-35.0-2.fc20
SUSE Security Update SUSE-SU-2015:0076-1:
http://lists.opensuse.org/opensuse-security-announce/2015-01/msg00013.html
openSUSE Security Update openSUSE-SU-2015:0077-1:
http://lists.opensuse.org/opensuse-security-announce/2015-01/msg00014.html
openSUSE Security Update openSUSE-SU-2015:0077-2:
http://lists.opensuse.org/opensuse-updates/2015-01/msg00042.html
Ubuntu Security Notice USN-2458-3:
http://www.ubuntu.com/usn/usn-2458-3/
SUSE Security Update SUSE-SU-2015:0173-1:
http://lists.opensuse.org/opensuse-security-announce/2015-01/msg00033.html
SUSE Security Update SUSE-SU-2015:0171-1:
http://lists.opensuse.org/opensuse-security-announce/2015-01/msg00032.html
openSUSE Security Update SUSE-SU-2015:0180-1:
http://lists.opensuse.org/opensuse-security-announce/2015-01/msg00036.html
openSUSE Security Update openSUSE-SU-2015:0192-1:
http://lists.opensuse.org/opensuse-updates/2015-02/msg00008.html
(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.
