検出

MiracleLinux 4firefox-10.0.5-1.0.1.AXS4、xulrunner-10.0.5-1.0.1.AXS4AXSA:2012-857:04

medium Nessus プラグイン ID 284070

Language:

概要

リモートのMiracleLinuxホストに1つ以上のセキュリティ更新プログラムがありません。

説明

リモートの MiracleLinux 4 ホストには、AXSA:2012-857:04 アドバイザリで言及されているように、複数の脆弱性の影響を受けるパッケージがインストールされています。

 Mozilla Firefox は、オープンソースの Web ブラウザで、標準へのコンプライアンス、パフォーマンス、ポータブル性を考慮して設計されています。
 このリリースで修正されたセキュリティ問題
 Linux 上のCVE-2011-310119.0.1084.46 より前の Google Chrome は、NVIDIA ドライバーの詳細不明な欠陥を適切に緩和しないため、未知の影響および攻撃ベクトルが存在します。注Mozilla 製品での関連する MFSA 2012-34 問題については、 CVE-2012-3105 を参照してください。
 CVE-2012-1937 Mozilla Firefox 4.x から まで、 12.0より前の Firefox ESR 、 12.010.0.5から までの Thunderbird、 より前の Thunderbird ESR 、および 5.010.x より前の SeaMonkey において、ブラウザエンジンでの複数の特定されていない脆弱 10.x 性により、 2.10 リモートの攻撃者は 10.0.5、不明なベクトルを介して、サービス拒否メモリ破損およびアプリケーションクラッシュを引き起こしたり、任意のコードを実行したりする可能性があります。
 CVE-2012-193813.0より前の Mozilla Firefox、 13.0より前の Thunderbird、および より前の SeaMonkey において、ブラウザエンジンでの複数の特定されていない脆弱性により、リモートの攻撃者は、サービス拒否メモリ破損とアプリケーションクラッシュを引き起こすことができるか、関連ベクトルを通じて 2.10 、任意のコードを実行できる場合があります1 methodjit/ImmutableSync.cpp、2js/src/jsarray.cpp の JSObject::makeDenseArraySlow 関数、およびその他の未知のコンポーネントに。
 CVE-2012-193910.0.5 より前の Mozilla Firefox ESR 10.x10.0.5 および より前の Thunderbird ESR の jsinfer.cpp が、データタイプを適切に判断していません。これにより、リモートの攻撃者が、サービス拒否メモリ破損とアプリケーションクラッシュ 10.x を引き起こしたり、任意のファイルを実行したりする可能性があります。サービス拒否を引き起こす可能性があります。
 CVE-2012-1940 Mozilla Firefox 4.x から 12.0、 より前の Firefox ESR 10.x10.0.5、から までの Thunderbird 5.012.0、より前の Thunderbird ESR 10.x 、および より 10.0.5前の SeaMonkey において、nsFrameList::FirstChild 関数にある use-after-free の脆弱性 2.10 により、リモートの攻撃者は、列の絶対配置要素のコンテナのサイズを変更することで、任意のコードを実行することや、サービス拒否ヒープメモリ破損とアプリケーションクラッシュを引き起こすことができます。
 CVE-2012-1941 Mozilla Firefox 4.x から 12.0[]、より前の Firefox ESR 10.x 、 より前の Firefox ESR [ 10.0.5、 から までの Thunderbird 5.012.0、より前の Thunderbird ESR 、および 10.x10.0.5より前の SeaMonkey において 2.10 、 nsHTMLReflowState::CalculateHypotheticalBox 関数にあるヒープベースのバッファオーバーフローにより、リモートの攻撃者は、ネストされた列の絶対配置および相対配置の要素を表示するウィンドウのサイズを変更することで、任意のコードを実行できます。
 CVE-2012-1944 Mozilla Firefox 4.x から 12.0、 より前の Firefox ESR 10.x10.0.5、Thunderbird 5.012.0から まで、 より前 10.0.5のThunderbird ESR 10.x 、および より前 2.10 のSeaMonkey の Content Security PolicyCSPの実装が、ブロックしませんこれにより、リモートの攻撃者が、細工された HTML ドキュメントからクロスサイトスクリプティングXSS攻撃を仕掛けやすくなります。
 CVE-2012-1945 Mozilla Firefox 4.x から 12.010.x 、より前の Firefox ESR 、 5.010.0.5から までの Thunderbird、 より前 12.0のThunderbird ESR 10.x 、および より前の SeaMonkey により 2.10 、ローカルユーザーが機密情報を取得する可能性があります 10.0.5。は、(1) Microsoft Windows または (2) Samba によって実装されたネットワーク共有によって示されるように、IFRAME 要素内の表示のためにショートカット別名 .lnkファイルを読み込みます。
 CVE-2012-1946 Mozilla Firefox 4.x から 12.0]、 より前の Firefox ESR 、 10.x10.0.5より前の Firefox ESR 、 より前の Firefox ESR 、 から までの Thunderbird 5.0 、より 12.0前の Thunderbird ESR 、および より前の SeaMonkey において、nsINode:: 10.x ReplaceOrInsertBefore 10.0.5関数にある use-after-free の脆弱性 2.10 により、リモートの攻撃者は、ノードの置換または挿入を含むドキュメント変更を介して、任意のコードを実行できる場合があります。
 CVE-2012-1947 Mozilla Firefox 4.x から 12.0、 より前の Firefox ESR 、 10.x10.0.5より前の Firefox ESR 、 5.012.0から までの Thunderbird、 より前の Thunderbird ESR 、および より前の SeaMonkey において、utf16_to_isolatin1 関数にあるヒープベースのバッファオーバーフローにより、 10.0.5リモート 10.x の攻撃者 2.10 がリモートの攻撃を行う可能性があります攻撃者が、文字セット変換エラーを発生させるベクトルを介して任意のコードを実行する可能性があります。

Tenableは、前述の記述ブロックをMiracleLinuxセキュリティアドバイザリから直接抽出しています。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

影響を受ける firefox および/または xulrunner パッケージを更新してください。

参考資料

https://tsn.miraclelinux.com/en/node/3399

プラグインの詳細

深刻度: Medium

ID: 284070

ファイル名: miracle_linux_AXSA-2012-857.nasl

バージョン: 1.1

タイプ: local

公開日: 2026/1/14

更新日: 2026/1/14

サポートされているセンサー: Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 6.7

Vendor

Vendor Severity: High

CVSS v2

リスクファクター: Critical

基本値: 10

現状値: 7.8

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

CVSS スコアのソース: CVE-2011-3101

CVSS v3

リスクファクター: Medium

基本値: 6.1

現状値: 5.5

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N

現状ベクトル: CVSS:3.0/E:P/RL:O/RC:C

CVSS スコアのソース: CVE-2012-1944

脆弱性情報

CPE: cpe:/o:miracle:linux:4, p-cpe:/a:miracle:linux:xulrunner, p-cpe:/a:miracle:linux:firefox

必要な KB アイテム: Host/local_checks_enabled, Host/MiracleLinux/release, Host/MiracleLinux/rpm-list, Host/cpu

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2012/9/11

脆弱性公開日: 2012/5/15

参照情報

CVE: CVE-2011-3101, CVE-2012-1937, CVE-2012-1938, CVE-2012-1939, CVE-2012-1940, CVE-2012-1941, CVE-2012-1944, CVE-2012-1945, CVE-2012-1946, CVE-2012-1947