Debian DSA-4562-1 : chromium - セキュリティ更新プログラム

critical Nessus プラグイン ID 130774

概要

リモートのDebianホストにセキュリティ関連の更新プログラムがありません。

説明

Chromium Webブラウザーでいくつかの脆弱性が発見されました。

- CVE-2019-5869:Zhe Jin氏は、メモリ解放後使用(Use After Free)の問題を発見しました。

- CVE-2019-5870 Guang Gong氏により、メモリ解放後使用(Use After Free)の問題が発見されました。

- CVE-2019-5871 skiaライブラリにバッファーオーバーフローの問題が見つかりました。

- CVE-2019-5872:Zhe Jin氏は、メモリ解放後使用(Use After Free)の問題を発見しました。

- CVE-2019-5874 James Lee氏により、外部Uniform Resource Identifier(URI)に問題があることが発見されました。

- CVE-2019-5875 Khalil Zhani氏により、URLのなりすましの問題が発見されました。

- CVE-2019-5876 Man Yue Mo氏により、メモリ解放後使用(Use After Free)の問題が発見されました。

- CVE-2019-5877 Guang Gong氏により、領域外読み取りの問題が発見されました。

- CVE-2019-5878 Guang Gong氏により、v8 JavaScriptライブラリにメモリ解放後使用(Use After Free)の問題が発見されました。

- CVE-2019-5879 Jinseo Kim氏により、拡張機能がローカルシステム上のファイルを読み取る可能性があることが発見されました。

- CVE-2019-5880 Jun Kokatsu氏により、SameSite cookie機能を回避する手段があることが発見されました。

- CVE-2019-13659 Lnyas Zhang氏により、URLのなりすましの問題が発見されました。

- CVE-2019-13660 Wenxu Wu氏により、全画面モードでのユーザーインターフェイスのエラーが発見されました。

- CVE-2019-13661 Wenxu Wu氏により、全画面モードでユーザーインターフェイスのなりすましの問題が発見されました。

- CVE-2019-13662 David Erceg氏により、コンテンツセキュリティポリシーを回避する手段があることが発見されました。

- CVE-2019-13663 Lyas Zhang氏により、国際化ドメイン名を偽装する手段があることが発見されました。

- CVE-2019-13664 Thomas Shadwell氏により、SameSite cookie機能を回避する手段があることが発見されました。

- CVE-2019-13665 Jun Kokatsu氏により、複数ファイルダウンロード保護機能を回避する手段があることが発見されました。

- CVE-2019-13666 Tom Van Goethem氏により、情報漏洩が発見されました。

- CVE-2019-13667 Khalil Zhani氏により、URLのなりすましの問題が発見されました。

- CVE-2019-13668 David Erceg氏により、情報漏洩が発見されました。

- CVE-2019-13669 Khalil Zhani氏により、認証なりすましの問題が発見されました。

- CVE-2019-13670 Guang Gong氏により、V8 JavaScript ライブラリにメモリ破損問題が発見されました。

- CVE-2019-13671 xisigr氏により、ユーザーインターフェイスのエラーが発見されました。

- CVE-2019-13673 David Erceg氏により、情報漏洩が発見されました。

- CVE-2019-13674 Khalil Zhani氏により、国際化ドメイン名を偽装する手段があることが発見されました。

- CVE-2019-13675 Jun Kokatsu氏により、拡張機能を無効にする手段が発見されました。

- CVE-2019-13676 Wenxu Wu氏により、証明書警告のエラーが発見されました。

- CVE-2019-13677 Jun Kokatsu氏により、chrome Webストアにエラーが発見されました。

- CVE-2019-13678 Ronni Skansing氏により、ダウンロードダイアログウィンドウでなりすましの問題が発見されました。

- CVE-2019-13679 Conrad Irwin氏により、印刷にユーザーアクティベーションが必要ないことが発見されました。

- CVE-2019-13680 Thijs Alkamade氏により、IPアドレスなりすましの問題が発見されました。

- CVE-2019-13681 David Erceg氏により、ダウンロード制限を回避する手段が発見されました。

- CVE-2019-13682 Jun Kokatsu氏により、サイト分離機能を回避する手段が発見されました。

- CVE-2019-13683 David Erceg氏により、情報漏洩が発見されました。

- CVE-2019-13685 Khalil Zhani氏により、メモリ解放後使用(Use After Free)の問題が発見されました。

- CVE-2019-13686 Brendon氏により、メモリ解放後使用(Use After Free)の問題が発見されました。

- CVE-2019-13687 Man Yue Mo氏により、メモリ解放後使用(Use After Free)の問題が発見されました。

- CVE-2019-13688 Man Yue Mo氏により、メモリ解放後使用(Use After Free)の問題が発見されました。

- CVE-2019-13691 David Erceg氏により、ユーザーインターフェイスのなりすましの問題が発見されました。

- CVE-2019-13692 Jun Kokatsu氏により、同一生成元ポリシーを回避する手段が発見されました。

- CVE-2019-13693 Guang Gong氏により、メモリ解放後使用(Use After Free)の問題が発見されました。

- CVE-2019-13694 banananapenguin氏により、メモリ解放後使用(Use After Free)の問題が発見されました。

- CVE-2019-13695 Man Yue Mo氏により、メモリ解放後使用(Use After Free)の問題が発見されました。

- CVE-2019-13696 Guang Gong氏により、v8 JavaScriptライブラリにメモリ解放後使用(Use After Free)の問題が発見されました。

- CVE-2019-13697 Luan Herrera氏により、情報漏洩が発見されました。

- CVE-2019-13699 Man Yue Mo氏により、メモリ解放後使用(Use After Free)の問題が発見されました。

- CVE-2019-13700 Man Yue Mo氏により、バッファオーバーフローの問題が発見されました。

- CVE-2019-13701 David Erceg氏により、URLのなりすましの問題が発見されました。

- CVE-2019-13702 Phillip Langlois氏とEdward Torkington氏により、インストーラーの権限昇格の問題が発見されました。

- CVE-2019-13703 Khalil Zhani氏により、URLのなりすましの問題が発見されました。

- CVE-2019-13704:Jun Kokatsu氏は、コンテンツセキュリティポリシーをバイパスする方法を発見しました。

- CVE-2019-13705 Luan Herrera氏により、拡張権限を回避する手段が発見されました。

- CVE-2019-13706 pdknsk氏により、pdfiumライブラリで領域外の読み取りの問題が発見されました。

- CVE-2019-13707 Andrea Palazzo氏により、情報漏洩が発見されました。

- CVE-2019-13708 Khalil Zhani氏により、認証なりすましの問題が発見されました。

- CVE-2019-13709 Zhong Zhaochen氏により、ダウンロード制限を回避する手段が発見されました。

- CVE-2019-13710 bernardo.mrod氏により、ダウンロード制限を回避する手段が発見されました。

- CVE-2019-13711 David Erceg氏により、情報漏洩が発見されました。

- CVE-2019-13713 David Erceg氏により、情報漏洩が発見されました。

- CVE-2019-13714 Jun Kokatsu氏により、Cascading Style Sheets(CSS)に問題があることが発見されました。

- CVE-2019-13715 xisigr 氏は、URL のなりすまし問題を発見しました。

- CVE-2019-13716 Barron Hagerman氏により、サービスワーカー実装にエラーがあることが発見されました。

- CVE-2019-13717 xisigr氏により、ユーザーインターフェイスのなりすましの問題が発見されました。

- CVE-2019-13718 Khalil Zhani氏により、国際化ドメイン名を偽装する手段があることが発見されました。

- CVE-2019-13719 Khalil Zhani氏により、ユーザーインターフェイスのなりすましの問題が発見されました。

- CVE-2019-13720 Anton Ivanov氏とAlexey Kulaev氏により、メモリ解放後使用(Use After Free)の問題が発見されました。

- CVE-2019-13721 banananapenguin氏により、pdfiumライブラリにメモリ解放後使用(Use After Free)の問題が発見されました。

ソリューション

chromiumパッケージをアップグレードしてください。

旧安定版(oldstable)ディストリビューション(stretch)の場合、chromiumのサポートは終了しています。安定版(stable)リリース(buster)にアップグレードして、chromiumの更新を引き続き受け取るようにするか、または旧安定版(oldstable)リリースで引き続きサポートされているfirefoxに切り替えてください。

安定版(stable)ディストリビューション(buster)では、これらの問題はバージョン78.0.3904.97-1~deb10u1で修正されています。

参考資料

https://security-tracker.debian.org/tracker/CVE-2019-5869

https://security-tracker.debian.org/tracker/CVE-2019-5870

https://security-tracker.debian.org/tracker/CVE-2019-5871

https://security-tracker.debian.org/tracker/CVE-2019-5872

https://security-tracker.debian.org/tracker/CVE-2019-5874

https://security-tracker.debian.org/tracker/CVE-2019-5875

https://security-tracker.debian.org/tracker/CVE-2019-5876

https://security-tracker.debian.org/tracker/CVE-2019-5877

https://security-tracker.debian.org/tracker/CVE-2019-5878

https://security-tracker.debian.org/tracker/CVE-2019-5879

https://security-tracker.debian.org/tracker/CVE-2019-5880

https://security-tracker.debian.org/tracker/CVE-2019-13659

https://security-tracker.debian.org/tracker/CVE-2019-13660

https://security-tracker.debian.org/tracker/CVE-2019-13661

https://security-tracker.debian.org/tracker/CVE-2019-13662

https://security-tracker.debian.org/tracker/CVE-2019-13663

https://security-tracker.debian.org/tracker/CVE-2019-13664

https://security-tracker.debian.org/tracker/CVE-2019-13665

https://security-tracker.debian.org/tracker/CVE-2019-13666

https://security-tracker.debian.org/tracker/CVE-2019-13667

https://security-tracker.debian.org/tracker/CVE-2019-13668

https://security-tracker.debian.org/tracker/CVE-2019-13669

https://security-tracker.debian.org/tracker/CVE-2019-13670

https://security-tracker.debian.org/tracker/CVE-2019-13671

https://security-tracker.debian.org/tracker/CVE-2019-13673

https://security-tracker.debian.org/tracker/CVE-2019-13674

https://security-tracker.debian.org/tracker/CVE-2019-13675

https://security-tracker.debian.org/tracker/CVE-2019-13676

https://security-tracker.debian.org/tracker/CVE-2019-13677

https://security-tracker.debian.org/tracker/CVE-2019-13678

https://security-tracker.debian.org/tracker/CVE-2019-13679

https://security-tracker.debian.org/tracker/CVE-2019-13680

https://security-tracker.debian.org/tracker/CVE-2019-13681

https://security-tracker.debian.org/tracker/CVE-2019-13682

https://security-tracker.debian.org/tracker/CVE-2019-13683

https://security-tracker.debian.org/tracker/CVE-2019-13685

https://security-tracker.debian.org/tracker/CVE-2019-13686

https://security-tracker.debian.org/tracker/CVE-2019-13687

https://security-tracker.debian.org/tracker/CVE-2019-13688

https://security-tracker.debian.org/tracker/CVE-2019-13691

https://security-tracker.debian.org/tracker/CVE-2019-13692

https://security-tracker.debian.org/tracker/CVE-2019-13693

https://security-tracker.debian.org/tracker/CVE-2019-13694

https://security-tracker.debian.org/tracker/CVE-2019-13695

https://security-tracker.debian.org/tracker/CVE-2019-13696

https://security-tracker.debian.org/tracker/CVE-2019-13697

https://security-tracker.debian.org/tracker/CVE-2019-13699

https://security-tracker.debian.org/tracker/CVE-2019-13700

https://security-tracker.debian.org/tracker/CVE-2019-13701

https://security-tracker.debian.org/tracker/CVE-2019-13702

https://security-tracker.debian.org/tracker/CVE-2019-13703

https://security-tracker.debian.org/tracker/CVE-2019-13704

https://security-tracker.debian.org/tracker/CVE-2019-13705

https://security-tracker.debian.org/tracker/CVE-2019-13706

https://security-tracker.debian.org/tracker/CVE-2019-13707

https://security-tracker.debian.org/tracker/CVE-2019-13708

https://security-tracker.debian.org/tracker/CVE-2019-13709

https://security-tracker.debian.org/tracker/CVE-2019-13710

https://security-tracker.debian.org/tracker/CVE-2019-13711

https://security-tracker.debian.org/tracker/CVE-2019-13713

https://security-tracker.debian.org/tracker/CVE-2019-13714

https://security-tracker.debian.org/tracker/CVE-2019-13715

https://security-tracker.debian.org/tracker/CVE-2019-13716

https://security-tracker.debian.org/tracker/CVE-2019-13717

https://security-tracker.debian.org/tracker/CVE-2019-13718

https://security-tracker.debian.org/tracker/CVE-2019-13719

https://security-tracker.debian.org/tracker/CVE-2019-13720

https://security-tracker.debian.org/tracker/CVE-2019-13721

https://security-tracker.debian.org/tracker/source-package/chromium

https://packages.debian.org/source/buster/chromium

https://www.debian.org/security/2019/dsa-4562

プラグインの詳細

深刻度: Critical

ID: 130774

ファイル名: debian_DSA-4562.nasl

バージョン: 1.10

タイプ: local

エージェント: unix

公開日: 2019/11/12

更新日: 2022/12/6

サポートされているセンサー: Agentless Assessment, Frictionless Assessment Agent, Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Critical

スコア: 9.0

CVSS v2

リスクファクター: Medium

Base Score: 6.8

Temporal Score: 5.9

ベクトル: CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P

CVSS スコアのソース: CVE-2019-5878

CVSS v3

リスクファクター: Critical

Base Score: 9.6

Temporal Score: 9.2

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H

現状ベクトル: CVSS:3.0/E:H/RL:O/RC:C

脆弱性情報

CPE: p-cpe:/a:debian:debian_linux:chromium, cpe:/o:debian:debian_linux:10.0

必要な KB アイテム: Host/local_checks_enabled, Host/Debian/release, Host/Debian/dpkg-l

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2019/11/10

脆弱性公開日: 2019/11/25

CISA の既知の悪用された脆弱性の期限日: 2022/6/13

参照情報

CVE: CVE-2019-13659, CVE-2019-13660, CVE-2019-13661, CVE-2019-13662, CVE-2019-13663, CVE-2019-13664, CVE-2019-13665, CVE-2019-13666, CVE-2019-13667, CVE-2019-13668, CVE-2019-13669, CVE-2019-13670, CVE-2019-13671, CVE-2019-13673, CVE-2019-13674, CVE-2019-13675, CVE-2019-13676, CVE-2019-13677, CVE-2019-13678, CVE-2019-13679, CVE-2019-13680, CVE-2019-13681, CVE-2019-13682, CVE-2019-13683, CVE-2019-13685, CVE-2019-13686, CVE-2019-13687, CVE-2019-13688, CVE-2019-13691, CVE-2019-13692, CVE-2019-13693, CVE-2019-13694, CVE-2019-13695, CVE-2019-13696, CVE-2019-13697, CVE-2019-13699, CVE-2019-13700, CVE-2019-13701, CVE-2019-13702, CVE-2019-13703, CVE-2019-13704, CVE-2019-13705, CVE-2019-13706, CVE-2019-13707, CVE-2019-13708, CVE-2019-13709, CVE-2019-13710, CVE-2019-13711, CVE-2019-13713, CVE-2019-13714, CVE-2019-13715, CVE-2019-13716, CVE-2019-13717, CVE-2019-13718, CVE-2019-13719, CVE-2019-13720, CVE-2019-13721, CVE-2019-5869, CVE-2019-5870, CVE-2019-5871, CVE-2019-5872, CVE-2019-5874, CVE-2019-5875, CVE-2019-5876, CVE-2019-5877, CVE-2019-5878, CVE-2019-5879, CVE-2019-5880

DSA: 4562