検出

AlmaLinux 8: thunderbird (ALSA-2022:1730)

critical Nessus プラグイン ID 161109

Language:

概要

リモートの AlmaLinux ホストに 1 つ以上のセキュリティ更新がありません。

説明

リモートの AlmaLinux 8 ホストに、ALSA-2022:1730 アドバイザリに記載されている複数の脆弱性の影響を受けるパッケージがインストールされています。

 - Mozilla 開発者 Andrew McCreight 氏、Gabriele Svelto 氏、Tom Ritter 氏および Mozilla Fuzzing Team は、Firefox 99 と Firefox ESR 91.8に存在するメモリ安全性のバグを報告しました。これらのバグの一部にはメモリ破損の証拠が示されており、当社では、手間をかけることにより、これらの一部が悪用され、任意のコードが実行される可能性があると推測しています。この脆弱性の影響を受けるのは、Thunderbird < 91.9、Firefox ESR < 91.9、および Firefox < 100 です。
 (CVE-2022-29917)

 - 添付メッセージ B を含む電子メールメッセージ A を表示すると、B が暗号化されているかデジタル署名されている場合に、またはその両方である場合に、Thunderbird は誤った暗号化ステータスや署名ステータスを表示することがあります。添付のメッセージ B を開いて表示した後、メッセージ A の表示に戻ると、メッセージ A にメッセージ B のセキュリティ状態が表示される場合があります。この脆弱性は Thunderbird < 91.9 に影響します。(CVE-2022-1520)

 - 深くネストされたクロスオリジンブラウジングコンテキストのドキュメントは、トップレベルのオリジンに付与されたアクセス許可を取得し、既存のプロンプトをバイパスし、トップレベルのアクセス許可を誤って継承する可能性がありました。この脆弱性の影響を受けるのは、Thunderbird < 91.9、Firefox ESR < 91.9、および Firefox < 100 です。(CVE-2022-29909)

 - 新しい iframe サンドボックスキーワード <code>allow-top-navigation-by-user-activation</code> の不適切な実装により、<code>allow-scripts</code> が存在せずにスクリプトが実行される可能性があります。この脆弱性の影響を受けるのは、Thunderbird < 91.9、Firefox ESR < 91.9、および Firefox < 100 です。(CVE-2022-29911)

 - リーダーモードを通じて開始されたリクエストが、SameSite 属性のある Cookie を適切に除外していませんでした。この脆弱性の影響を受けるのは、Thunderbird < 91.9、Firefox ESR < 91.9、および Firefox < 100 です。(CVE-2022-29912)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

影響を受ける thunderbird パッケージを更新してください。

参考資料

https://errata.almalinux.org/8/ALSA-2022-1730.html

プラグインの詳細

深刻度: Critical

ID: 161109

ファイル名: alma_linux_ALSA-2022-1730.nasl

バージョン: 1.7

タイプ: local

公開日: 2022/5/12

更新日: 2023/10/27

サポートされているセンサー: Continuous Assessment, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 6.7

CVSS v2

リスクファクター: Critical

基本値: 10

現状値: 7.8

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

CVSS スコアのソース: CVE-2022-29917

CVSS v3

リスクファクター: Critical

基本値: 9.8

現状値: 8.8

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

現状ベクトル: CVSS:3.0/E:P/RL:O/RC:C

脆弱性情報

CPE: cpe:/o:alma:linux:8, p-cpe:/a:alma:linux:thunderbird

必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/AlmaLinux/release, Host/AlmaLinux/rpm-list

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2022/5/5

脆弱性公開日: 2022/5/3

参照情報

CVE: CVE-2022-1520, CVE-2022-29909, CVE-2022-29911, CVE-2022-29912, CVE-2022-29913, CVE-2022-29914, CVE-2022-29916, CVE-2022-29917

IAVA: 2022-A-0190-S