検出

DebianDSA-4237-1:chromiumブラウザ - セキュリティ更新

critical Nessus プラグイン ID 110820

Language:

概要

リモートのDebianホストにセキュリティ関連の更新プログラムがありません。

説明

Chromium Webブラウザで複数の脆弱性が発見されました。

 - CVE-2018-6118Ned Williamson氏は、use-after-freeの問題を発見しました。

 - CVE-2018-6120Zhou Aiting氏は、pdfiumライブラリでバッファオーバーフローの問題を発見しました。

 - CVE-2018-6121悪意のある拡張が権限を昇格する可能性があることが判明しました。

 - CVE-2018-6122v8 JavaScriptライブラリで、型の取り違え(Type Confusion)の問題が発見されました。

 - CVE-2018-6123Looben Yang氏がuse-after-freeの問題を発見しました。

 - CVE-2018-6124Guang Gong氏は、pdfiumライブラリで型の取り違え(Type Confusion)の問題を発見しました。

 - CVE-2018-6125Yubico氏は、WebUSB実装の制限が緩すぎることを発見しました。

 - CVE-2018-6126Ivan Fratric氏は、skiaライブラリにバッファオーバーフローの問題を発見しました。

 - CVE-2018-6127Looben Yang氏がuse-after-freeの問題を発見しました。

 - CVE-2018-6129Natalie Silvanovich氏は、WebRTCに境界外読み取りの問題が発見されました。

 - CVE-2018-6130Natalie Silvanovich氏は、WebRTCに境界外読み取りの問題が発見されました。

 - CVE-2018-6131Natalie Silvanovich氏は、WebAssemblyにエラーを発見しました。

 - CVE-2018-6132Ronald E. Crane氏は、初期化されていないメモリの問題を発見しました。

 - CVE-2018-6133Khalil Zhani氏は、URLのスプーフィング問題を発見しました。

 - CVE-2018-6134Jun Kokatsu氏は、リファラーポリシーをバイパスする方法を発見しました。

 - CVE-2018-6135Jasper Rebane氏は、ユーザーインターフェイスのスプーフィング問題を発見しました。

 - CVE-2018-6136Peter Wong氏は、v8 JavaScript ライブラリに境界外読み取りの問題があることを発見しました。

 - CVE-2018-6137Michael Smith氏は、情報漏洩を発見しました。

 - CVE-2018-6138 Francois Lajeunesse-Robert氏は、拡張ポリシーの許容度が高すぎることを発見しました。

 - CVE-2018-6139Rob Wu氏は、デバッガ拡張で制限をバイパスする方法を発見しました。

 - CVE-2018-6140Rob Wu氏は、デバッガ拡張で制限をバイパスする方法を発見しました。

 - CVE-2018-6141Yangkang氏は、skiaライブラリにバッファオーバーフローの問題を発見しました。

 - CVE-2018-6142Choongwoo Han氏は、v8 JavaScript ライブラリに境界外読み取りがあることを発見しました。

 - CVE-2018-6143Guang Gong氏は、v8 JavaScript ライブラリに境界外読み取りがあることを発見しました。

 - CVE-2018-6144pdknsk氏は、pdfiumライブラリで境界外読み取りを発見しました。

 - CVE-2018-6145Masato Kinugawa氏は、MathML実装にエラーを発見しました。

 - CVE-2018-6147Michail Pishchagin氏は、パスワード入力フィールドにエラーを発見しました。

 - CVE-2018-6148Michal Bentkowski氏は、Content Security Policyヘッダーが不適切に処理されていることを発見しました。

 - CVE-2018-6149Yu Zhou氏とJundong Xie氏は、v8 JavaScriptライブラリに境界外書き込みの問題があることを発見しました。

ソリューション

chromium-browserパッケージをアップグレードしてください。

安定版(stable)ディストリビューション(stretch)では、これらの問題はバージョン67.0.3396.87-1~deb9u1で修正されています。

参考資料

https://security-tracker.debian.org/tracker/CVE-2018-6118

https://security-tracker.debian.org/tracker/CVE-2018-6120

https://security-tracker.debian.org/tracker/CVE-2018-6121

https://security-tracker.debian.org/tracker/CVE-2018-6122

https://security-tracker.debian.org/tracker/CVE-2018-6123

https://security-tracker.debian.org/tracker/CVE-2018-6124

https://security-tracker.debian.org/tracker/CVE-2018-6125

https://security-tracker.debian.org/tracker/CVE-2018-6126

https://security-tracker.debian.org/tracker/CVE-2018-6127

https://security-tracker.debian.org/tracker/CVE-2018-6129

https://security-tracker.debian.org/tracker/CVE-2018-6130

https://security-tracker.debian.org/tracker/CVE-2018-6131

https://security-tracker.debian.org/tracker/CVE-2018-6132

https://security-tracker.debian.org/tracker/CVE-2018-6133

https://security-tracker.debian.org/tracker/CVE-2018-6134

https://security-tracker.debian.org/tracker/CVE-2018-6135

https://security-tracker.debian.org/tracker/CVE-2018-6136

https://security-tracker.debian.org/tracker/CVE-2018-6137

https://security-tracker.debian.org/tracker/CVE-2018-6138

https://security-tracker.debian.org/tracker/CVE-2018-6139

https://security-tracker.debian.org/tracker/CVE-2018-6140

https://security-tracker.debian.org/tracker/CVE-2018-6141

https://security-tracker.debian.org/tracker/CVE-2018-6142

https://security-tracker.debian.org/tracker/CVE-2018-6143

https://security-tracker.debian.org/tracker/CVE-2018-6144

https://security-tracker.debian.org/tracker/CVE-2018-6145

https://security-tracker.debian.org/tracker/CVE-2018-6147

https://security-tracker.debian.org/tracker/CVE-2018-6148

https://security-tracker.debian.org/tracker/CVE-2018-6149

http://www.nessus.org/u?e33901a2

https://packages.debian.org/source/stretch/chromium-browser

https://www.debian.org/security/2018/dsa-4237

プラグインの詳細

深刻度: Critical

ID: 110820

ファイル名: debian_DSA-4237.nasl

バージョン: 1.8

タイプ: local

エージェント: unix

公開日: 2018/7/2

更新日: 2019/7/15

サポートされているセンサー: Agentless Assessment, Frictionless Assessment Agent, Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: High

スコア: 8.4

CVSS v2

リスクファクター: High

基本値: 9.3

現状値: 7.3

ベクトル: CVSS2#AV:N/AC:M/Au:N/C:C/I:C/A:C

CVSS v3

リスクファクター: Critical

基本値: 9.6

現状値: 8.6

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H

現状ベクトル: CVSS:3.0/E:P/RL:O/RC:C

脆弱性情報

CPE: p-cpe:/a:debian:debian_linux:chromium-browser, cpe:/o:debian:debian_linux:9.0

必要な KB アイテム: Host/local_checks_enabled, Host/Debian/release, Host/Debian/dpkg-l

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2018/6/30

脆弱性公開日: 2019/1/9

参照情報

CVE: CVE-2018-6118, CVE-2018-6120, CVE-2018-6121, CVE-2018-6122, CVE-2018-6123, CVE-2018-6124, CVE-2018-6125, CVE-2018-6126, CVE-2018-6127, CVE-2018-6129, CVE-2018-6130, CVE-2018-6131, CVE-2018-6132, CVE-2018-6133, CVE-2018-6134, CVE-2018-6135, CVE-2018-6136, CVE-2018-6137, CVE-2018-6138, CVE-2018-6139, CVE-2018-6140, CVE-2018-6141, CVE-2018-6142, CVE-2018-6143, CVE-2018-6144, CVE-2018-6145, CVE-2018-6147, CVE-2018-6148, CVE-2018-6149

DSA: 4237