MiracleLinux 3firefox-3.6.14-4.0.1.AXS3; xulrunner-1.9.2.14-4.0.1.AXS3AXSA:2011-75:01
high Nessus プラグイン ID 284237
Language:
概要
リモートのMiracleLinuxホストに1つ以上のセキュリティ更新プログラムがありません。説明
リモートの MiracleLinux 3 ホストには、AXSA:2011-75:01 アドバイザリで言及されているように、複数の脆弱性の影響を受けるパッケージがインストールされています。Mozilla Firefox は、オープンソースの Web ブラウザで、標準へのコンプライアンス、パフォーマンス、ポータブル性を考慮して設計されています。
このリリースで修正されたセキュリティ問題
CVE-2010-1585 Mozilla Firefox の nsIScriptableUnescapeHTML.parseFragment メソッドが HTML を適切にサニタイズしないために、リモートの攻撃者が、拡張への入力における javascript: URI を介して、chrome 権限で任意の JavaScript を実行することが容易になります。これは、(1) の javascript:alert シーケンスで実証されています。引き起こす可能性があります (2) FORM 要素の ACTION 属性によって引き起こされる可能性があります。
CVE-2011-00513.5.17 より前の Mozilla Firefox、 3.6.x3.6.14より前の 2.0.12]、ならびに より前の SeaMonkey が、特定の再帰 eval 呼び出しを適切に処理していません。これにより、リモートの攻撃者がユーザーに、ダイアログの質問に肯定的に応答することを強制することが容易になります。これは、実証されています。権限の付与に関する質問により。
CVE-2011-00533.5.17 より前の Mozilla Firefox および より前の 3.6.x3.6.14、 より 3.1.8前の Thunderbird、および より前の SeaMonkey において、ブラウザエンジンでの複数の詳細不明な脆弱性により、リモートの攻撃者は 2.0.12 、サービス拒否メモリ破損とアプリケーションクラッシュを引き起こすことができるか、未知のベクターを介して任意のコードを実行する可能性があります。
CVE-2011-00543.5.17 より前、 3.6.x3.6.14より前の の Mozilla Firefox、ならびに より前の SeaMonkey の JavaScript エンジンのバッファオーバーフローにより、リモートの攻撃者が、ローカルでない JavaScript 変数に関連するベクトルを介して、任意のコードを実行する可能性があります 2.0.12。これは、別名 upvarMap 問題と呼ばれています。
CVE-2011-00553.5.17 より前の Mozilla Firefox、 より前の 3.6.143.6.x 、および より 2.0.12前の SeaMonkey の JSON.stringify メソッド にある use-after-free の脆弱性により、リモートの攻撃者が詳細不明なベクトルを介して任意のコードを実行する可能性があります。
CVE-2011-00563.5.17 より前、および より 3.6.14前の の Mozilla Firefox、ならびに より 2.0.12前の SeaMonkey の JavaScript エンジンのバッファオーバーフローにより、リモートの攻撃者が 3.6.x 、例外タイミングおよび多数の文字列値を含むベクトルを介して、任意のコードを実行する可能性があります。これは、別名アトムマップの問題。
CVE-2011-00573.5.17 より前、 3.6.x3.6.14より前の の Mozilla Firefox 2.0.12、ならびに より前の SeaMonkey の Web Worker 実装にある use-after-free の脆弱性により、リモートの攻撃者が、JavaScript Worker およびガベージコレクションに関連するベクトルを介して任意のコードを実行することが可能です。
CVE-2011-0058 Windows 上の 3.5.17 より前の Mozilla Firefox、 3.6.x3.6.14より前の 2.0.12、ならびに より前の SeaMonkey のバッファオーバーフローにより、リモートの攻撃者が、Windows 上の任意のコードを実行したり、サービス拒否メモリ破損を引き起こしたりする可能性があります。これにより、リモートの攻撃者は、長いテキスト実行
CVE-2011-00593.5.17 より前の Mozilla Firefox、 より前の 3.6.x3.6.14、ならびに より前の SeaMonkey のクロスサイトリクエスト偽造CSRFの脆弱性により、リモートの攻撃者が、プラグインによって開始され受信されるリクエストのユーザーの認証をハイジャックすることが可能です 2.0.12。別の Web サイトのページへの 307 リダイレクト。
CVE-2011-00613.6.x より 3.6.14前の Mozilla Firefox 、 より前の Thunderbird、 3.1.8およびより前の SeaMonkey のバッファオーバーフローにより、リモートの攻撃者が、細工された 2.0.12 JPEG画像を介して任意のコードを実行したり、サービス拒否アプリケーションクラッシュを引き起こしたりする可能性があります。
CVE-2011-00623.6.x より前の Mozilla Firefox 3.6.14 、および より前の Thunderbird において 3.1.x 、ブラウザエンジンでの複数の特定されていない 3.1.8 脆弱性により、リモートの攻撃者は、サービス拒否メモリ破損とアプリケーションクラッシュを引き起こしたり、不明なベクトルを通じて、任意のコードを実行したりすることができます。
Tenableは、前述の記述ブロックをMiracleLinuxセキュリティアドバイザリから直接抽出しています。
Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。
ソリューション
影響を受ける firefox および/または xulrunner パッケージを更新してください。参考資料
プラグインの詳細
深刻度: High
ID: 284237
ファイル名: miracle_linux_AXSA-2011-75.nasl
バージョン: 1.1
タイプ: local
公開日: 2026/1/14
更新日: 2026/1/14
サポートされているセンサー: Nessus Agent, Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 5.9
Vendor
Vendor Severity: High
CVSS v2
リスクファクター: Critical
基本値: 10
現状値: 7.8
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C
CVSS スコアのソース: CVE-2011-0062
CVSS v3
リスクファクター: High
基本値: 8.8
現状値: 7.9
ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
現状ベクトル: CVSS:3.0/E:P/RL:O/RC:C
CVSS スコアのソース: CVE-2011-0059
脆弱性情報
CPE: p-cpe:/a:miracle:linux:xulrunner, p-cpe:/a:miracle:linux:firefox, cpe:/o:miracle:linux:3
必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/MiracleLinux/release, Host/MiracleLinux/rpm-list
エクスプロイトが利用可能: true
エクスプロイトの容易さ: Exploits are available
パッチ公開日: 2011/3/4
脆弱性公開日: 2010/4/28
参照情報
CVE: CVE-2010-1585, CVE-2011-0051, CVE-2011-0053, CVE-2011-0054, CVE-2011-0055, CVE-2011-0056, CVE-2011-0057, CVE-2011-0058, CVE-2011-0059, CVE-2011-0061, CVE-2011-0062