検出

MiracleLinux 3 : firefox-3.0.10-1.2AXS3 AXSA:2009-128:01

medium Nessus プラグイン ID 284432

Language:

概要

リモートのMiracleLinuxホストに1つ以上のセキュリティ更新プログラムがありません。

説明

リモートの MiracleLinux 3 ホストには、AXSA:2009-128:01 アドバイザリで言及されているように、複数の脆弱性の影響を受けるパッケージがインストールされています。

 Mozilla Firefox は、オープンソースの Web ブラウザで、標準へのコンプライアンス、パフォーマンス、ポータブル性を考慮して設計されています。
 修正されたバグ:
 CVE-2009-1302 より前の Mozilla Firefox 3.x3.0.9、より 2.0.0.22前の Thunderbird、および より前の SeaMonkey でのブラウザエンジンにより、リモートの攻撃者は、(1) nsAsyncInstantiateEvent に関連するベクトルを通じて、サービス拒否アプリケーションクラッシュを引き起こしたり、メモリ破損を発生させたりすることが可能です 1.1.16 。 ::Run、(2) nsStyleContext::Destroy、(3) nsComputedDOMStyle::GetWidth、(4) XSLT スタイルシートコンパイラーの xslt_attributesset_ImportSameName.html テストケース、(5) nsXULDocument::SynchronizeBroadcastListener、(6) IsBindingAncestor、(7) PL_DHashTableOperate および nsEditor::EndUpdateViewBatch、 および8 gfxSkipCharsIterator::SetOffsets および他のベクトルを参照してください。
 CVE-2009-13033.0.9より前の Mozilla Firefox 、 より前の Thunderbird、 2.0.0.22およびより 1.1.16 前の SeaMonkey でのブラウザエンジンにより、リモートの攻撃者は、サービス拒否アプリケーションクラッシュを引き起こしたり、nsSVGElement::BindToTree に関連するベクトルを通じて、メモリ破損を発生させたりすることができます。
 CVE-2009-1304 より前の Mozilla Firefox 3.x3.0.9、 より 2.0.0.22前の Thunderbird、および より 1.1.16 前の SeaMonkey の JavaScript エンジンにより、リモートの攻撃者が、(1) js_FindPropertyHelper、 Math および Date の定義に関連。および (2) js_CheckRedeclaration に関連するベクトルを通じて、可用性に影響を与えることが可能です。
 CVE-2009-13053.0.9より前の Mozilla Firefox 、 より前の Thunderbird、 2.0.0.22およびより前の SeaMonkey での JavaScript エンジンにより、リモートの攻撃者は、サービス拒否アプリケーションクラッシュを引き起こすことができ、JSOP_DEFVAR や JSPROP_PERMANENT が欠如しているプロパティに関連するベクトルメモリ破損を引き起こす可能性があります 1.1.16 。属性に関連するベクトルを通じて、可用性に影響を与えることが可能です。
 CVE-2009-1306 jar: より 3.0.9前の Mozilla Firefox、Thunderbird、および SeaMonkey の jar URI 実装は、内部 URI の Content-Disposition ヘッダーに従いません。これにより、リモートの攻撃者が、クロスサイトスクリプティングXSS攻撃や、場合によってはその他の攻撃を介して、 Content-Disposition を持つアップロードされた .jar ファイル
 添付ファイルの指定。
 CVE-2009-13073.0.9より前の Mozilla Firefox 、Thunderbird、および SeaMonkey の view-source: URI 実装は、同一生成元ポリシーを適切に実装しません。これにより、リモートの攻撃者が、1crossdomain.xml 制限をバイパスし、任意の Web サイトに接続することができます。 Flash ファイル2 Flash ファイルを介してローカル共有オブジェクトを読み取り、作成、または変更する。または (3) 詳細不明な制限をバイパスし、jar URI を含むベクトルを通じてコンテンツをレンダリングします。
 CVE-2009-13083.0.9より前の Mozilla Firefox 、Thunderbird、および SeaMonkey におけるクロスサイトスクリプティングXSSの脆弱性により、リモートの攻撃者は、XBL JavaScript バインディングとリモートスタイルシートに関連するベクトルを通じて、任意の Web スクリプトまたは HTML を注入することができます。なお、これは 2009 年 3 月により野放しで悪用されています。 eBay リスト。
 CVE-2009-13093.0.9より前の Mozilla Firefox、Thunderbird、および SeaMonkey は、ドキュメントのプリンシパルに対する不一致を含む、(1) XMLHttpRequest と (2) 不適切な __proto__ スコープを伴う XPCNativeWrapper.toString に対して、同一生成元ポリシーを適切に実装しません。これにより、リモートの攻撃者が、細工されたドキュメントを介してクロスサイトスクリプティングXSS攻撃やその他の攻撃を実行する可能性があります。
 CVE-2009-13103.0.9 より前の Mozilla Firefox の MozSearch プラグイン実装におけるクロスサイトスクリプティングXSSの脆弱性により、ユーザーが支援するリモートの攻撃者が、SearchForm 要素の javascript: URI を介して任意の Web スクリプトまたは HTML を注入する可能性があります。
 CVE-2009-13113.0.9 より前の Mozilla Firefox および 1.1.17 より前の SeaMonkey では、ユーザーが支援するリモートの攻撃者が、組み込みフレームのある Web ページで機密情報を入手することが可能です。これにより、SAVEMODE_FILEONLY 実行中に、外側ページからの POST データが内部フレームの URL に送信されます。内部フレームの保存。
 CVE-2009-13123.0.9 より前の Mozilla Firefox と SeaMonkey は javascript をブロックしません。HTTP 応答の Refresh ヘッダーの URI。これにより、リモートの攻撃者が、(1) Refresh ヘッダーの注入または (2) に関連するベクトルを介して、クロスサイトスクリプティングXSS攻撃を仕掛ける可能性があります。リフレッシュヘッダーのコンテンツを指定する可能性があります。注Mozilla 1.7.x およびそれ以前も影響を受けることが後に報告されました。
 CVE-2009-13133.0.9 Mozilla Firefox の layout/generic/nsTextFrameThebes.cpp にある nsTextFrame::ClearTextRun 関数により、リモートの攻撃者がサービス拒否メモリ破損を引き起こし、詳細不明なベクトルを通じて、任意のコードを実行することが可能です。注この脆弱性は、 の修正が不適切なために存在すると報告されています CVE-2009-1302。
 その他のバグ
 - Firefox をメニューエントリに移動

Tenableは、前述の記述ブロックをMiracleLinuxセキュリティアドバイザリから直接抽出しています。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

影響を受ける Firefox パッケージを更新してください。

参考資料

https://tsn.miraclelinux.com/en/node/766

プラグインの詳細

深刻度: Medium

ID: 284432

ファイル名: miracle_linux_AXSA-2009-128.nasl

バージョン: 1.1

タイプ: local

公開日: 2026/1/14

更新日: 2026/1/14

サポートされているセンサー: Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 6.7

Vendor

Vendor Severity: High

CVSS v2

リスクファクター: High

基本値: 9.3

現状値: 8.1

ベクトル: CVSS2#AV:N/AC:M/Au:N/C:C/I:C/A:C

CVSS スコアのソース: CVE-2009-1313

CVSS v3

リスクファクター: Medium

基本値: 6.1

現状値: 5.8

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N

現状ベクトル: CVSS:3.0/E:H/RL:O/RC:C

CVSS スコアのソース: CVE-2009-1308

脆弱性情報

CPE: p-cpe:/a:miracle:linux:firefox, cpe:/o:miracle:linux:3

必要な KB アイテム: Host/local_checks_enabled, Host/MiracleLinux/release, Host/MiracleLinux/rpm-list, Host/cpu

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2009/8/4

脆弱性公開日: 2009/4/22

参照情報

CVE: CVE-2009-1302, CVE-2009-1303, CVE-2009-1304, CVE-2009-1305, CVE-2009-1306, CVE-2009-1307, CVE-2009-1308, CVE-2009-1309, CVE-2009-1310, CVE-2009-1311, CVE-2009-1312, CVE-2009-1313