Kurzinfo CB-K17/1637 Update 4

5 Risiko: sehr hoch
Information zu Schwachstellen und Sicherheitslücken
Titel: Mozilla Firefox, Firefox ESR, NSS, Tor Browser: Mehrere Schwachstellen ermöglichen u.a. die Ausführung beliebigen Programmcodes
Datum: 10.10.2017
Software: Mozilla Firefox < 56, Mozilla Firefox ESR < 52.4, Mozilla Network Security Services < 3.28.6, Tor Browser < 7.0.6, Tor Browser < 7.5a5
Plattform: SUSE Container-as-a-Service-(CaaS)-Plattform ALL, SUSE Linux Enterprise Software Development Kit 12 SP2, SUSE Linux Enterprise Software Development Kit 12 SP3, SUSE OpenStack Cloud 6, Apple Mac OS X, macOS Sierra, Canonical Ubuntu Linux 14.04 LTS, Canonical Ubuntu Linux 16.04 LTS, Canonical Ubuntu Linux 17.04, Debian Linux 8.9 Jessie, Debian Linux 9.1 Stretch, GNU/Linux, Google Android Operating System, Microsoft Windows , openSUSE Leap 42.2, openSUSE Leap 42.3, SUSE Linux Enterprise Desktop 12 SP2, SUSE Linux Enterprise Desktop 12 SP3, SUSE Linux Enterprise Server 12 LTSS, SUSE Linux Enterprise Server 12 SP1 LTSS, SUSE Linux Enterprise Server for SAP 12 SP1, SUSE Linux Enterprise Server 12 SP2, SUSE Linux Enterprise Server 12 SP2 for Raspberry Pi, SUSE Linux Enterprise Server 12 SP3, Oracle Linux 6, Oracle Linux 7, Oracle VM Server 3.3, Oracle VM Server 3.4, Red Hat Enterprise Linux for Scientific Computing 6, Red Hat Enterprise Linux for Scientific Computing 7, Red Hat Enterprise Linux 7.4 EUS Compute Node, Red Hat Enterprise Linux Desktop 6, Red Hat Enterprise Linux Desktop 7, Red Hat Enterprise Linux Server 6, Red Hat Enterprise Linux Server 7, Red Hat Enterprise Linux Server for ARM 7, Red Hat Enterprise Linux Server 7.4 AUS, Red Hat Enterprise Linux Server 7.4 EUS, Red Hat Enterprise Linux Server 7.4 TUS, Red Hat Enterprise Linux Workstation 6, Red Hat Enterprise Linux Workstation 7, Red Hat Fedora 25, Red Hat Fedora 26, Red Hat Fedora 27
Auswirkung: Ausführen beliebigen Programmcodes
Remoteangriff: Ja
Risiko: sehr hoch
CVE Liste: CVE-2017-7793, CVE-2017-7805, CVE-2017-7810, CVE-2017-7811, CVE-2017-7812, CVE-2017-7813, CVE-2017-7814, CVE-2017-7815, CVE-2017-7816, CVE-2017-7817, CVE-2017-7818, CVE-2017-7819, CVE-2017-7820, CVE-2017-7821, CVE-2017-7822, CVE-2017-7823, CVE-2017-7824, CVE-2017-7825
Bezug: Mozilla Foundation Security Advisory MFSA 2017-21
Revisions Historie
  • Version: 5

    Für SUSE OpenStack Cloud 6, die SUSE Linux Enterprise Produkte Software Development Kit und Desktop jeweils in den Versionen 12 SP2 und 12 SP3, SUSE Linux Enterprise Server 12 LTSS, 12 SP1 LTSS, 12 SP2 und 12 SP3, Server for SAP 12 SP1, Server for Raspberry Pi 12 SP2 sowie SUSE Container as a Service Platform ALL stehen Sicherheitsupdates für Mozilla Firefox auf die Version ESR 52.4 bereit.

  • Version: 4

    Canonical informiert mittels der Ubuntu Security Notice USN-3435-2 darüber, dass das Sicherheitsupdate für den Firefox Browser (USN-3435-1) eine Regression eingeführt hat, die in einigen Fällen dazu führen kann, dass das Flash Plugin abstützt. Canonical behebt die Regression mit den aktualisierten Paketen.

  • Version: 3

    Canonical stellt Sicherheitsupdates für Ubuntu 14.04 LTS, Ubuntu 16.04 LTS und Ubuntu 17.04 auf die Firefox Version 56 bereit. Über eine weitere Meldung (USN-3431-1) wird ein gesondertes Sicherheitsupdate für die Network Security Service (NSS) Bibliothek für eben jene Distributionen veröffentlicht, um die Denial-of-Service-Schwachstelle CVE-2017-7805 zu beheben. Für openSUSE Leap 42.2 und openSUSE Leap 42.3 stehen Sicherheitsupdates auf die Mozilla Firefox 52.4 ESR Version und die NSS Version 3.28.6 zur Verfügung. Und für Oracle VM 3.3 und Oracle VM 3.4 wird die Schwachstelle in der NSS Bibliothek über Backport-Sicherheitsupdates adressiert.

  • Version: 2

    Für Fedora 25 und 26 stehen Sicherheitsupdates auf den Firefox Browser Version 56 in Form der Pakete 'firefox-56.0-2.fc25' und 'firefox-56.0-2.fc26' im Status 'testing' zur Verfügung. Für Fedora 26 und 27 stehen die Sicherheitsupdates 'firefox-56.0-3.fc26' und 'firefox-56.0-3.fc27' im Status 'pending' bereit. Debian veröffentlicht für die stabile Distribution Stretch sowie die vormals stabile Distribution Jessie den Firefox ESR Browser in der Version 52.4 als Sicherheitsupdate.

  • Version: 1

    Neues Advisory

Beschreibung

Firefox ist der Open-Source Webbrowser der Mozilla Foundation.

Firefox ESR (Extended Support Release) ist der Open-Source Webbrowser für Gruppen, die die Desktop-Umgebung in großen Organisationen flächendeckend installieren und warten.

Die Mozilla Network Security Services (NSS) stellen Bibliotheken und Funktionen für eine sichere Kommunikation zwischen Client und Server für unterschiedliche Systeme zur Verfügung.

Der Tor Browser ist eine vorkonfigurierte Kombination aus dem Browser Mozilla Firefox, Tor Launcher, und dem Tor-Client, welcher das Web-Browsen innerhalb des Proxy Server Netzwerks Tor ermöglicht.

Mehrere Schwachstellen in Mozilla Firefox und Firefox ESR ermöglichen einem entfernten, nicht authentisierten Angreifer das Ausführen beliebigen Programmcodes, das Umgehen von Sicherheitsvorkehrungen, das Ausspähen von Informationen, die Darstellung falscher Informationen sowie die Durchführung eines Cross-Site-Scripting (XSS)-Angriffs und verschiedene Denial-of-Service (DoS)-Angriffe. Ein lokaler, nicht authentisierter Angreifer kann eine Schwachstelle ausnutzen, um Sicherheitsvorkehrungen zu umgehen und beliebige lokale Dateien zu öffnen. Die Schwachstelle CVE-2017-7817 betrifft nur Firefox für Android und die Schwachstelle CVE-2017-7825 nur Firefox für Mac OS X-Betriebssysteme. Die Mozilla Foundation stellt den Browser Firefox in der Version 56 und das Extended Support Release Firefox ESR in der Version 52.4 bereit, um die Schwachstellen zu beheben. Das Tor Browser Projekt veröffentlicht zur Behebung der Schwachstellen die auf Firefox ESR 52.4 basierende stabile Version 7.0.6 des Browsers und verwendet darin nun die Tor-Version 0.3.1.7 sowie die HTTPS-Everywhere-Version 2017.9.12. Des weiteren wird die Alpha-Version 7.5a5 des Tor-Browsers zur Verfügung gestellt, welche ebenfalls auf Firefox ESR 52.4 basiert. Red Hat stellt für die Red Hat Enterprise Linux 6 und 7 Produktvarianten Server, Desktop und Workstation sowie für Server for ARM 7, Linux for Scientific Computing 6 und die Server Produktversionen Extended Update Support (EUS) 7.4, Advanced Update Support (AUS) 7.4 und Telco Update Support (TUS) 7.4 den Firefox ESR Browser in der Version 52.4 als Sicherheitsupdate bereit. Die Schwachstelle CVE-2017-7805 in den Network Security Services (NSS) adressiert Red Hat mittels eines gesonderten Sicherheitsupdates (RHSA-2017:2832) für 'nss', welches zusätzlich auch für die Produktvarianten Linux for Scientific Computing 7 und Compute Node Extended Update Support (EUS) 7.4 bereitsteht. Oracle stellt für Oracle Linux 6 (i386, x86_64) und 7 (x86_64) den Firefox ESR Browser in der Version 52.4 als Sicherheitsupdate bereit. Für die Network Security Services (NSS) steht ebenfalls ein gesondertes Sicherheitsupdate (ELSA-2017-2832) für Oracle Linux 6 (x86_64) und 7 (x86_64) bereit, um die Schwachstelle CVE-2017-7805 zu beheben.

  1. Mozilla Foundation Security Advisory MFSA 2017-21

  2. Mozilla Foundation Security Advisory MFSA 2017-22

  3. Oracle Linux Security Advisory ELSA-2017-2831

  4. Oracle Linux Security Advisory ELSA-2017-2832

  5. Red Hat Security Advisory RHSA-2017:2831

  6. Red Hat Security Advisory RHSA-2017:2832

  7. Tor Browser 7.0.6 Release Notes

  8. Tor Browser 7.5a5 Release Notes

  9. Schwachstelle CVE-2017-7793 (NVD)

  10. Schwachstelle CVE-2017-7805 (NVD)

  11. Schwachstelle CVE-2017-7810 (NVD)

  12. Schwachstelle CVE-2017-7811 (NVD)

  13. Schwachstelle CVE-2017-7812 (NVD)

  14. Schwachstelle CVE-2017-7813 (NVD)

  15. Schwachstelle CVE-2017-7814 (NVD)

  16. Schwachstelle CVE-2017-7815 (NVD)

  17. Schwachstelle CVE-2017-7816 (NVD)

  18. Schwachstelle CVE-2017-7817 (NVD)

  19. Schwachstelle CVE-2017-7818 (NVD)

  20. Schwachstelle CVE-2017-7819 (NVD)

  21. Schwachstelle CVE-2017-7820 (NVD)

  22. Schwachstelle CVE-2017-7821 (NVD)

  23. Schwachstelle CVE-2017-7822 (NVD)

  24. Schwachstelle CVE-2017-7823 (NVD)

  25. Schwachstelle CVE-2017-7824 (NVD)

  26. Schwachstelle CVE-2017-7825 (NVD)

  27. Debian Security Advisory DSA-3987-1

  28. Fedora Security Update FEDORA-2017-2c933656a2 (Fedora 25, firefox-56.0-2.fc25)

  29. Fedora Security Update FEDORA-2017-3ede6585dc (Fedora 27, firefox-56.0-3.fc27)

  30. Fedora Security Update FEDORA-2017-730e299c49 (Fedora 26, firefox-56.0-2.fc26)

  31. Fedora Security Update FEDORA-2017-825ffaa9fc (Fedora 26, firefox-56.0-3.fc26)

  32. Oracle VM Security Advisory OVMSA-2017-0154 (Oracle VM 3.4)

  33. Oracle VM Security Advisory OVMSA-2017-0156 (Oracle VM 3.3)

  34. Ubuntu Security Notice USN-3431-1

  35. Ubuntu Security NoticeUSN-3435-1

  36. openSUSE Security Update openSUSE-SU-2017:2615-1

  37. Ubuntu Security Notice USN-3435-2

  38. SUSE Security Update SUSE-SU-2017:2688-1

  39. SUSE Security Update SUSE-SU-2017:2688-1

CERT-Bund bietet personalisierte Warn- und Informationsdienste an.
Bitte registrieren Sie sich, um diese Angebote nutzen zu können.