Ubuntu 20.04LTS / 22.04LTS: GNOME Web の脆弱性 (USN-5561-1)
medium Nessus プラグイン ID 164146
Language:
概要
リモート Ubuntu ホストに 1 つ以上のセキュリティ更新がありません。説明
リモートの Ubuntu 20.04LTS / 22.04LTS ホストには、USN-5561-1 のアドバイザリに記載されている複数の脆弱性の影響を受けるパッケージがインストールされています。- GNOME Web (別名 Epiphany) 40.4より前および 41.1より前の 41.xでは、以下を介して XSS が発生する可能性があります。about: ページ。これは ephy-about: overview (Most Visited リストに掲載されるほど頻繁 XSS ペイロードページを訪問する場合) で実証されています。(CVE-2021-45085)
- XSS は、40.4 より前および 41.1より前の 41.xの GNOME Web (別名Epiphany) で発生する可能性があります。これは、PDF.jsで pdf_name 値としてサーバーの提案されたファイル名が使用されるためです。 (CVE-2021-45086)
- ページタイトルで示されているように、ソースの表示モードまたはリーダーモードを使用すると、GNOME Web (別名Epiphany) の40.4 より前および 41.1より前の 41.xで XSS が発生する可能性があります。 (CVE-2021-45087)
- 41.4より前の GNOME Epiphany および 42.xより前の 42.2で、HTML ドキュメントが長いページタイトルを介して (UI プロセスの ephy_string_shorten で) クライアントバッファオーバーフローをトリガーする可能性があります。この問題は、UTF-8 省略記号文字のバイト数が適切に考慮されていないために発生します。(CVE-2022-29536)
Nessus はこれらの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。
ソリューション
影響を受ける epiphany-browser や epiphany-browser-data パッケージを更新してください。参考資料
プラグインの詳細
深刻度: Medium
ID: 164146
ファイル名: ubuntu_USN-5561-1.nasl
バージョン: 1.4
タイプ: local
エージェント: unix
ファミリー: Ubuntu Local Security Checks
公開日: 2022/8/16
更新日: 2023/7/12
サポートされているセンサー: Frictionless Assessment Azure, Nessus Agent, Agentless Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Nessus
リスク情報
VPR
リスクファクター: Low
スコア: 3.8
CVSS v2
リスクファクター: Medium
基本値: 4.3
現状値: 3.4
ベクトル: CVSS2#AV:N/AC:M/Au:N/C:N/I:P/A:N
CVSS スコアのソース: CVE-2021-45087
CVSS v3
リスクファクター: Medium
基本値: 6.1
現状値: 5.5
ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
現状ベクトル: CVSS:3.0/E:P/RL:O/RC:C
脆弱性情報
CPE: cpe:/o:canonical:ubuntu_linux:20.04:-:lts, cpe:/o:canonical:ubuntu_linux:22.04:-:lts, p-cpe:/a:canonical:ubuntu_linux:epiphany-browser, p-cpe:/a:canonical:ubuntu_linux:epiphany-browser-data
必要な KB アイテム: Host/cpu, Host/Ubuntu, Host/Ubuntu/release, Host/Debian/dpkg-l
エクスプロイトが利用可能: true
エクスプロイトの容易さ: Exploits are available
パッチ公開日: 2022/8/10
脆弱性公開日: 2021/12/16
参照情報
CVE: CVE-2021-45085, CVE-2021-45086, CVE-2021-45087, CVE-2022-29536
USN: 5561-1