検出

RHEL 8 : thunderbird (RHSA-2023:1805)

high Nessus プラグイン ID 174414

Language:

概要

リモートの Red Hat ホストに 1 つ以上の thunderbird 用セキュリティ更新プログラムがありません。

説明

リモート Redhat Enterprise Linux 8 ホストに、RHSA-2023:1805 アドバイザリに記載されている複数の脆弱性の影響を受けるパッケージがインストールされています。

 - Thunderbird: S/Mime 署名証明書の失効ステータスがチェックされませんでした (CVE-2023-0547)

 - Mozilla: 安全なブラウジングコードのメモリ破損 (CVE-2023-1945)

 - Mozilla: libwebp: libwebp での二重解放 (CVE-2023-1999)

 - Mozilla: Thunderbird にバンドルされている Matrix SDK に、サービス拒否攻撃の脆弱性があります (CVE-2023-28427)

 - Thunderbird: 特定の OpenPGP メッセージを処理する際にハングアップします (CVE-2023-29479)

 - Mozilla: 不明瞭なフルスクリーン通知 (CVE-2023-29533)

 - Mozilla: ガベージコレクターコンパクション後の潜在的なメモリ破損 (CVE-2023-29535)

 - Mozilla: JavaScript コードからの無効な解放 (CVE-2023-29536)

 - Mozilla: Content-Disposition ファイル名の切り捨てにより、折り返し型ファイルのダウンロードが発生 (CVE-2023-29539)

 - Mozilla: 悪意のある拡張子を持つファイルが、Linux に安全でない方法でダウンロードされた可能性があります (CVE-2023-29541)

 - Mozilla: ARM64 での不適切な最適化結果 (CVE-2023-29548)

 - Mozilla: Firefox 112 および Firefox ESR 102.10 で、メモリ安全性のバグを修正 (CVE-2023-29550)

Nessus はこれらの問題をテストしておらず、代わりにアプリケー代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

RHEL thunderbird パッケージを、RHSA-2023:1805 のガイダンスに基づいて更新してください。

参考資料

http://www.nessus.org/u?3070aeb2

https://access.redhat.com/errata/RHSA-2023:1805

https://access.redhat.com/security/updates/classification/#important

https://bugzilla.redhat.com/show_bug.cgi?id=2183278

https://bugzilla.redhat.com/show_bug.cgi?id=2186101

https://bugzilla.redhat.com/show_bug.cgi?id=2186102

https://bugzilla.redhat.com/show_bug.cgi?id=2186103

https://bugzilla.redhat.com/show_bug.cgi?id=2186104

https://bugzilla.redhat.com/show_bug.cgi?id=2186105

https://bugzilla.redhat.com/show_bug.cgi?id=2186106

https://bugzilla.redhat.com/show_bug.cgi?id=2186109

https://bugzilla.redhat.com/show_bug.cgi?id=2186110

https://bugzilla.redhat.com/show_bug.cgi?id=2186111

https://bugzilla.redhat.com/show_bug.cgi?id=2186734

https://bugzilla.redhat.com/show_bug.cgi?id=2186735

プラグインの詳細

深刻度: High

ID: 174414

ファイル名: redhat-RHSA-2023-1805.nasl

バージョン: 1.4

タイプ: local

エージェント: unix

公開日: 2023/4/17

更新日: 2024/4/23

サポートされているセンサー: Agentless Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 6.7

CVSS v2

リスクファクター: Critical

基本値: 10

現状値: 7.4

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

CVSS スコアのソース: CVE-2023-29550

CVSS v3

リスクファクター: High

基本値: 8.8

現状値: 7.7

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C

脆弱性情報

CPE: cpe:/o:redhat:rhel_aus:8.2, cpe:/o:redhat:rhel_e4s:8.2, cpe:/o:redhat:rhel_tus:8.2, p-cpe:/a:redhat:enterprise_linux:thunderbird

必要な KB アイテム: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2023/4/17

脆弱性公開日: 2023/3/28

参照情報

CVE: CVE-2023-0547, CVE-2023-1945, CVE-2023-1999, CVE-2023-28427, CVE-2023-29479, CVE-2023-29533, CVE-2023-29535, CVE-2023-29536, CVE-2023-29539, CVE-2023-29541, CVE-2023-29548, CVE-2023-29550

CWE: 119, 120, 1321, 159, 356, 400, 415, 425, 434, 617, 682

IAVA: 2023-A-0166-S, 2023-A-0199-S

RHSA: 2023:1805