リモートの Ubuntu 20.04LTS ホストには、USN-6890-1 のアドバイザリに記載された複数の脆弱性の影響を受けるパッケージがインストールされています。

    Firefox で複数のセキュリティの問題が発見されました。ユーザーが誘導されて巧妙に作りこまれた Web サイトを開くと、攻撃者がこれらを悪用し、アプリケーションをクラッシュさせてサービス拒否を引き起こす、ドメイン間の秘密情報を取得する、任意のコードを実行するなどの可能性があります。(CVE-2024-6601、CVE-2024-6604、CVE-2024-6607、CVE-2024-6608、CVE-2024-6610、CVE-2024-6611、CVE-2024-6612、CVE-2024-6613、CVE-2024-6614、CVE-2024-6615)

    Firefox が NSS で特定のメモリ操作を正しく管理していないことがわかりました。攻撃者がこの問題を悪用して、サービス拒否を引き起こすか、任意のコードを実行する可能性があります。
    (CVE-2024-6602、CVE-2024-6609)

    Irvan Kurniawan 氏は、Firefox がスレッド作成中にメモリを適切に管理していないことを発見しました。攻撃者がこの問題を悪用して、サービス拒否を引き起こすか、任意のコードを実行する可能性があります。

    (CVE-2024-6603)

    Firefox がクリップボードコンポーネントでの配列アクセスを不適切に処理するため、領域外読み取りの脆弱性を引き起こす可能性があることがわかりました。攻撃者がこの問題を悪用して、サービス拒否を引き起こしたり、秘密情報を漏えいさせたりする可能性があります。(CVE-2024-6606)

Tenable は、前述の説明ブロックを Ubuntu セキュリティアドバイザリからすでに直接抽出しています。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

検出

Ubuntu 20.04 LTS : Firefox の脆弱性 (USN-6890-1)

critical Nessus プラグイン ID 202049

バージョン 1.6

バージョン 1.5

バージョン 1.4

バージョン 1.3

バージョン 1.2

バージョン 1.1

バージョン 1.6 Aug 30, 2024, 7:43 AM CVSSv2 score source (changed from "CVE-2024-6615" to "CVE-2024-6609") Plugin Feed: 202408300743
バージョン 1.5 Aug 28, 2024, 7:43 PM CVSS metrics ("CVSSv2 score" set to 10.0) CVSS metrics ("CVSSv2 vector" set to "CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C") CVSS metrics ("Cvssv4 score" set to 0.0) CVSSv2 severity (based on None, severity decreased from "High" to "Low") Detection (updated detection logic) Plugin Feed: 202408281943
バージョン 1.4 Aug 9, 2024, 10:04 AM IAVM reference Plugin Feed: 202408091004
バージョン 1.3 Jul 12, 2024, 1:38 PM IAVM reference STIG Severity (set to "I") Plugin Feed: 202407121338
バージョン 1.2 Jul 12, 2024, 8:04 AM CVSSv3 score source (set to "CVE-2024-6611") Plugin Feed: 202407120804
バージョン 1.1 Jul 10, 2024, 2:08 PM New Plugin Feed: 202407101408