Amazon Linux 2: thunderbird(ALAS-2025-2830)

medium Nessus プラグイン ID 234510

Language:

概要

リモートの Amazon Linux 2 ホストに、セキュリティ更新プログラムがありません。

説明

リモートホストにインストールされている thunderbird のバージョンは、128.8.1-1 より前のものです。したがって、ALAS2-2025-2830 のアドバイザリに記載されている複数の脆弱性の影響を受けます。

コミット 9cc451b91b74ba470fd72bd48c121e9f33d24c99 より前のバージョンの LibJXL には、領域外の読み取り/書き込みが存在します。JPEG 再圧縮を行う際（すなわち、信頼できない入力で JxlEncoderAddJPEGFrame を使用する場合）に JPEG XL エンコーダーが使用する JPEG デコーダーは、不完全なコードが存在する場合に境界を適切にチェックしません。これにより、領域外書き込みが発生する可能性があります。同じプロジェクトの一部としてリリースされている jpegli に、同じ脆弱性が存在します。ただし、関連するバッファはより大きな構造体の一部であり、コードは上書きされる可能性のある値を想定していません。ただし、この問題により、jpegli が初期化されていないメモリまたは関数のアドレスを読み取る可能性があります。（CVE-2024-11403）

2.6.4 より前に libexpat で問題が見つかりました。XML_StopParser が起動されていないパーサーを停止/中断する可能性があるため、XML_ResumeParser 関数内でクラッシュがあります。(CVE-2024-50602)

1.0 （）までの Theora の libtheora の huffdec.c の oc_huff_tree_unpack に、無効な負の左シフトがあります。（CVE-2024-56431）

Tenable は、前述の記述ブロックをテスト済み製品のセキュリティアドバイザリから直接抽出しています。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。