Ubuntu 16.04 LTS/18.04 LTS/19.04:Firefoxのリグレッション(USN-4054-2)

high Nessus プラグイン ID 127093
New! プラグインの深刻度には CVSS v3 が適用されるようになりました。

プラグインの深刻度は、デフォルトで CVSS v3 を使って計算されるように更新されました。プラグインに CVSS v3 スコアがない場合には、CVSS v2 を使って深刻度が計算されます。深刻度の表示設定は、[設定]のドロップダウンで切り替えができます。

概要

リモートのUbuntuホストにセキュリティパッチが適用されていません。

説明

USN-4054-1 は、Firefoxの脆弱性を修正しました。これには、いくつかの小さなリグレッションが含まれていました。この更新プログラムにより問題が修正されます。

ご不便をお掛けして申し訳ございません。

Firefoxでサンドボックスの回避が見つかりました。ユーザーが誘導されて悪意のある言語パックをインストールすると、攻撃者がこれを悪用して追加の権限を取得する可能性があります。(CVE-2019-9811)

Firefoxで複数のセキュリティの問題が発見されました。ユーザーが誘導されて特別に細工されたWebサイトを開くと、攻撃者はこれらを悪用して、サービス拒否、秘密情報の取得、同一オリジン制限のバイパス、クロスサイトスクリプティング(XSS)攻撃、クロスサイトリクエストフォージェリ(CSRF)攻撃、オリジン属性の偽装、アドレスバーコンテンツの偽装、セーフブラウジング保護のバイパス、任意のコードの実行などをする可能性があります。
(CVE-2019-11709、CVE-2019-11710、CVE-2019-11711、CVE-2019-11712、CVE-2019-11713、CVE-2019-11714、CVE-2019-11715、CVE-2019-11716、CVE-2019-11717、CVE-2019-11718、CVE-2019-11719、CVE-2019-11720、CVE-2019-11721、CVE-2019-11723、CVE-2019-11724、CVE-2019-11725、CVE-2019-11727、CVE-2019-11728、CVE-2019-11729)

Firefoxがディレクトリ内のすべてのファイルを同一オリジンとして処理することがわかりました。ユーザーが誘導されて特別に細工されたHTMLファイルをダウンロードすると、攻撃者がこれを悪用して、ローカルファイルから秘密情報を取得する可能性があります。(CVE-2019-11730)。

注意: Tenable Network Securityは、前述の説明ブロックをUbuntuセキュリティアドバイザリからすでに直接抽出しています。Tenableでは、新たな問題を持ち込まずに、できる限り自動的に整理して書式設定するようにしています。

ソリューション

影響を受けるFirefoxパッケージを更新してください。

関連情報

https://usn.ubuntu.com/4054-2/

プラグインの詳細

深刻度: High

ID: 127093

ファイル名: ubuntu_USN-4054-2.nasl

バージョン: 1.4

タイプ: local

エージェント: unix

公開日: 2019/7/26

更新日: 2020/9/17

依存関係: ssh_get_info.nasl

リスク情報

CVSS スコアのソース: CVE-2019-11716

VPR

リスクファクター: Medium

スコア: 6.5

CVSS v2

リスクファクター: High

Base Score: 7.5

Temporal Score: 5.5

ベクトル: AV:N/AC:L/Au:N/C:P/I:P/A:P

現状ベクトル: E:U/RL:OF/RC:C

CVSS v3

リスクファクター: High

Base Score: 8.3

Temporal Score: 7.2

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:L/A:L

現状ベクトル: E:U/RL:O/RC:C

脆弱性情報

CPE: p-cpe:/a:canonical:ubuntu_linux:firefox, cpe:/o:canonical:ubuntu_linux:16.04, cpe:/o:canonical:ubuntu_linux:18.04:-:lts, cpe:/o:canonical:ubuntu_linux:19.04

必要な KB アイテム: Host/cpu, Host/Ubuntu, Host/Ubuntu/release, Host/Debian/dpkg-l

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2019/7/25

脆弱性公開日: 2019/7/23

参照情報

CVE: CVE-2019-11709, CVE-2019-11710, CVE-2019-11711, CVE-2019-11712, CVE-2019-11713, CVE-2019-11714, CVE-2019-11715, CVE-2019-11716, CVE-2019-11717, CVE-2019-11718, CVE-2019-11719, CVE-2019-11720, CVE-2019-11721, CVE-2019-11723, CVE-2019-11724, CVE-2019-11725, CVE-2019-11727, CVE-2019-11728, CVE-2019-11729, CVE-2019-11730, CVE-2019-9811

USN: 4054-2