リモートの Debian 10 / 11 ホストには、dsa-5143 のアドバイザリに記載された複数の脆弱性の影響を受けるパッケージがインストールされています。

  - 攻撃者がプロトタイプ汚染を介して JavaScript の Array オブジェクトのメソッドを破損できた場合、権限のあるコンテキストで攻撃者がコントロールする JavaScript コードを実行する可能性がありました。この脆弱性は、Firefox ESR < 91.9.1、Firefox < 100.0.2、Firefox for Android < 100.3.0、および Thunderbird < 91.9.1 に影響します。(CVE-2022-1802)

  - 攻撃者が JavaScript オブジェクトへの二重インデックスに使用されたコンテンツの親プロセスへメッセージを送信する可能性がありました。これにより、プロトタイプ汚染や、最終的に権限のある親プロセスで実行される攻撃者がコントロールする JavaScript が引き起こされます。この脆弱性は、Firefox ESR < 91.9.1、Firefox < 100.0.2、Firefox for Android < 100.3.0、および Thunderbird < 91.9.1 に影響します。(CVE-2022-1529)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

検出

Debian DSA-5143-1: firefox-esr - セキュリティ更新

high Nessus プラグイン ID 161437

バージョン 1.6

バージョン 1.5

バージョン 1.6 Mar 21, 2023, 7:30 PM Plugin metadata Plugin Feed: 202303211930
バージョン 1.5 Dec 30, 2022, 4:05 PM CVSS metrics ("CVSSv2 score" changed from "6.8" to "10.0") CVSS metrics ("CVSSv2 vector" changed from "CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P" to "CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C") CVSSv2 severity (based on CVE-2022-1802, severity increased from "Medium" to "High") Plugin Feed: 202212301605