Liebe Kolleginnen und Kollegen,
bitte beachten Sie die folgende Sicherheitsmeldung.
Historie:
Version 8 (17.08.2015):
Für openSUSE 13.1 und openSUSE 13.2 stehen Sicherheitsupdates auf die
Firefox Version 40.0 bereit, welche diese Schwachstelle ebenfalls
adressieren.
Version 7 (14.08.2015):
SUSE veröffentlicht für SUSE Linux Enterprise Software Development Kit 11
SP3 und SP4, Desktop 11 SP3 und SP4 sowie Server 11 SP3, SP3 für VMware
und SP4 Sicherheitsupdates.
Version 6 (13.08.2015):
SUSE stellt für SUSE Linux Enterprise Software Development Kit 12, Server
12 und Desktop 12 Sicherheitsupdates bereit.
Version 5 (10.08.2015):
Für die Distribution Fedora 23 steht ein Sicherheitsupdate auf die Firefox
Version 39.0.3 im Status ‘stable’ zur Verfügung.
Version 4 (10.08.2015):
Red Hat stellt für verschiedene Varianten von Red Hat Enterprise Linux 5,
6 und 7 Sicherheitsupdates für Firefox bereit.
Version 3 (10.08.2015):
Für die Distributionen Fedora 21 und Fedora 22 stehen Sicherheitsupdates
auf die Firefox Version 39.0.3 im Status ‘stable’ zur Verfügung.
Version 2 (07.08.2015):
Für die Distributionen Ubuntu 15.04, Ubuntu 14.04 LTS und Ubuntu 12.04 LTS
werden Sicherheitsupdates bereitgestellt.
Version 1 (07.08.2015):
Neues Advisory
Betroffene Software:
Mozilla Firefox < 39.0.3 Mozilla Firefox ESR < 38.1.1 Betroffene Plattformen: SUSE Linux Enterprise Software Development Kit 11 SP3 SUSE Linux Enterprise Software Development Kit 11 SP4 SUSE Linux Enterprise Software Development Kit 12 Apple Mac OS X Canonical Ubuntu Linux 12.04 Lts Canonical Ubuntu Linux 14.04 Lts Canonical Ubuntu Linux 15.04 GNU/Linux Microsoft Windows openSUSE 13.1 openSUSE 13.2 SUSE Linux Enterprise Desktop 11 SP3 SUSE Linux Enterprise Desktop 11 SP4 SUSE Linux Enterprise Desktop 12 SUSE Linux Enterprise Server 11 SP3 SUSE Linux Enterprise Server 11 SP3 VMware SUSE Linux Enterprise Server 11 SP4 SUSE Linux Enterprise Server 12 Red Hat Enterprise Linux Desktop 5 Client Red Hat Enterprise Linux Desktop 6 Red Hat Enterprise Linux Desktop 7 Red Hat Enterprise Linux HPC Node 6 Red Hat Enterprise Linux Server 5 Red Hat Enterprise Linux Server 6 Red Hat Enterprise Linux Server 7 Red Hat Enterprise Linux Workstation 6 Red Hat Enterprise Linux Workstation 7 Red Hat Fedora 21 Red Hat Fedora 22 Red Hat Fedora 23 Ein entfernter, nicht authentifizierter Angreifer kann durch Ausnutzen der Schwachstelle beliebige, lokale Dateien herunterladen. Mozilla stellt Sicherheitsupdates für Firefox und Firefox ESR auf die Version 39.0.3 bzw. 38.1.1 zur Verfügung und berichtet, dass die Schwachstelle bereits für Angriffe genutzt wird. Patch: Mozilla Foundation Security Advisory MFSA 2015-78 https://www.mozilla.org/en-US/security/advisories/mfsa2015-78/
Patch:
Ubuntu Security Notice USN-2707-1
http://www.ubuntu.com/usn/usn-2707-1/
Patch:
Fedora Security Update FEDORA-2015-13007
https://admin.fedoraproject.org/updates/FEDORA-2015-13007/firefox-39.0.3-1.fc21
Patch:
Fedora Security Update FEDORA-2015-13010
https://admin.fedoraproject.org/updates/FEDORA-2015-13010/firefox-39.0.3-1.fc22
Patch:
Fedora Security Update FEDORA-2015-13105
https://admin.fedoraproject.org/updates/FEDORA-2015-13105/firefox-39.0.3-1.fc23
Patch:
Red Hat Security Advisory RHSA-2015:1581
http://rhn.redhat.com/errata/RHSA-2015-1581.html
Patch:
SUSE Security Update SUSE-SU-2015:1379-1
https://www.suse.com/support/update/announcement/2015/suse-su-20151379-1.html
Patch:
SUSE Security Update SUSE-SU-2015:1380-1
https://www.suse.com/support/update/announcement/2015/suse-su-20151380-1.html
Patch:
openSUSE Security Update openSUSE-SU-2015:1389-1
http://lists.opensuse.org/opensuse-security-announce/2015-08/msg00014.html
Patch:
openSUSE Security Update openSUSE-SU-2015:1390-1
http://lists.opensuse.org/opensuse-security-announce/2015-08/msg00015.html
CVE-2015-4495: Schwachstelle im Firefox PDF-Viewer erlaubt das Ausspähen von
Dateien
Eine Schwachstelle in dem in Firefox integrierten PDF-Viewer besteht
aufgrund der Verletzung der Same-Origin-Policy. Dadurch ist das Einschleusen
von Script-Code möglich, über den das Ausspähen von lokalen, sensiblen
Dateien (Passworte) ermöglicht wird.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-1204/
Mozilla Foundation Security Advisory MFSA 2015-78:
https://www.mozilla.org/en-US/security/advisories/mfsa2015-78/
Ubuntu Security Notice USN-2707-1:
http://www.ubuntu.com/usn/usn-2707-1/
Schwachstelle CVE-2015-4495 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-4495
Fedora Security Update FEDORA-2015-13007:
https://admin.fedoraproject.org/updates/FEDORA-2015-13007/firefox-39.0.3-1.fc21
Fedora Security Update FEDORA-2015-13010:
https://admin.fedoraproject.org/updates/FEDORA-2015-13010/firefox-39.0.3-1.fc22
Fedora Security Update FEDORA-2015-13105:
https://admin.fedoraproject.org/updates/FEDORA-2015-13105/firefox-39.0.3-1.fc23
Red Hat Security Advisory RHSA-2015:1581:
http://rhn.redhat.com/errata/RHSA-2015-1581.html
SUSE Security Update SUSE-SU-2015:1379-1:
https://www.suse.com/support/update/announcement/2015/suse-su-20151379-1.html
SUSE Security Update SUSE-SU-2015:1380-1:
https://www.suse.com/support/update/announcement/2015/suse-su-20151380-1.html
openSUSE Security Update openSUSE-SU-2015:1389-1:
http://lists.opensuse.org/opensuse-security-announce/2015-08/msg00014.html
openSUSE Security Update openSUSE-SU-2015:1390-1:
http://lists.opensuse.org/opensuse-security-announce/2015-08/msg00015.html
(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.
