検出

CentOS 8: firefox (CESA-2022: 0130)

critical Nessus プラグイン ID 156795

Language:

概要

リモートの CentOS ホストに 1 つ以上のセキュリティ更新プログラムが欠落しています。

説明

リモートの CentOS Linux 8 ホストにインストールされているパッケージは、CESA-2022: 0130 アドバイザリに記載されている複数の脆弱性の影響を受けます。

 - Mozilla: XSLTによる iframe サンドボックスバイパス (CVE-2021-4140)

 - Mozilla: オーディオファイル再生時の競合状態 (CVE-2022-22737)

 - Mozilla: BlendGaussianBlur のヒープバッファオーバーフロー (CVE-2022-22738)

 - Mozilla: 外部プロトコルの起動ダイアログにスロットルがない (CVE-2022-22739)

 - Mozilla: ChannelEventQueue: : mOwner の Use-After-Free (CVE-2022-22740)

 - Mozilla: フルスクリーンモードを使用するブラウザウィンドウの偽装 (CVE-2022-22741、CVE-2022-22743)

 - Mozilla: 編集モードでテキストを挿入する際の領域外メモリアクセス (CVE-2022-22742)

 - Mozilla: securitypolicyviolation イベントによるクロスオリジン URL の漏洩 (CVE-2022-22745)

 - Mozilla: 空の pkcs7 シーケンスを処理する際にクラッシュ (CVE-2022-22747)

 - Mozilla: 外部プロトコル起動ダイアログのオリジンが偽装されます (CVE-2022-22748)

 - Mozilla: Firefox 96 と Firefox ESR 91.5で修正されたメモリ安全性に関するバグ (CVE-2022-22751)

Nessus はこの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

ソリューション

影響を受ける Firefox パッケージを更新してください。

参考資料

https://access.redhat.com/errata/RHSA-2022:0130

プラグインの詳細

深刻度: Critical

ID: 156795

ファイル名: centos8_RHSA-2022-0130.nasl

バージョン: 1.6

タイプ: local

エージェント: unix

公開日: 2022/1/18

更新日: 2023/11/20

サポートされているセンサー: Agentless Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus

リスク情報

VPR

リスクファクター: High

スコア: 8.4

CVSS v2

リスクファクター: Critical

基本値: 10

現状値: 7.8

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

CVSS スコアのソース: CVE-2022-22751

CVSS v3

リスクファクター: Critical

基本値: 10

現状値: 9

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H

現状ベクトル: CVSS:3.0/E:P/RL:O/RC:C

CVSS スコアのソース: CVE-2021-4140

脆弱性情報

CPE: cpe:/o:centos:centos:8-stream, p-cpe:/a:centos:centos:firefox

必要な KB アイテム: Host/local_checks_enabled, Host/CentOS/release, Host/CentOS/rpm-list, Host/cpu

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2022/1/12

脆弱性公開日: 2022/1/11

参照情報

CVE: CVE-2021-4140, CVE-2022-22737, CVE-2022-22738, CVE-2022-22739, CVE-2022-22740, CVE-2022-22741, CVE-2022-22742, CVE-2022-22743, CVE-2022-22745, CVE-2022-22747, CVE-2022-22748, CVE-2022-22751

IAVA: 2022-A-0017-S

RHSA: 2022:0130