MiracleLinux 4firefox-3.6.24-3.0.1.AXS4、xulrunner-1.9.2.24-2.1.0.1.AXS4AXSA:2012-81:01
medium Nessus プラグイン ID 284447
Language:
概要
リモートのMiracleLinuxホストに1つ以上のセキュリティ更新プログラムがありません。説明
リモートの MiracleLinux 4 ホストには、AXSA:2012-81:01 アドバイザリで言及されているように、複数の脆弱性の影響を受けるパッケージがインストールされています。Mozilla Firefox は、オープンソースの Web ブラウザで、標準へのコンプライアンス、パフォーマンス、ポータブル性を考慮して設計されています。
このリリースで修正されたセキュリティ問題
CVE-2011-23723.6.23 より前の Mozilla Firefox と 4.x7.0から6 までの Mozilla Firefox、 より前の Thunderbird、および より 2.4 前の SeaMonkey は、Enter キーを押さえてもダウンロードの開始を防止しません。これにより、ユーザーの支援を受けるリモートの攻撃者がバイパスをすることができます。細工された Web サイトを介して意図されるアクセス制限を実行する可能性があります。
CVE-2011-29953.6.23 より前の Mozilla Firefox および 4.x7.0から 6 までの Mozilla Firefox、 より前の Thunderbird、および より前の SeaMonkey において、ブラウザエンジンでの複数の特定されていない脆弱性により、リモートの攻撃者は 2.4 、サービス拒否メモリ破損とアプリケーションクラッシュを引き起こしたり、未知のベクターを介して任意のコードを実行する可能性があります。
CVE-2011-2998 Mozilla Firefox 3.6.x3.6.23 より前の の整数アンダーフローにより、リモートの攻撃者がサービス拒否アプリケーションクラッシュを引き起こし、大きな RegExp を含む JavaScript コードで任意のコードを実行することがあります。
CVE-2011-29993.6.23 より前の Mozilla Firefox 、 から 5 までの 4.x6.0Thunderbird、および より前の SeaMonkey は、ロケールをフレーム名として適切に処理しません。これにより、リモートの攻撃者が、細工された Web サイトを通じて同一生成元ポリシーをバイパスできるようになります 2.3 。 、 とは異なる脆弱性です CVE-2010-0170。
CVE-2011-30003.6.23 より前の Mozilla Firefox 、 4.x から 6 までの Mozilla Firefox、 7.0より前の Thunderbird、および 2.4 より前の SeaMonkey は、複数の Location、Content-Length、または Content-Disposition のヘッダーを含む HTTP 応答を適切に処理しません。これによりリモートでの攻撃者が、細工されたヘッダー値を介して HTTP 応答分割攻撃を実行する可能性があります。
CVE-2011-36473.6.24 より前の Mozilla Firefox および 3.1.6 より前の Thunderbird における JSSubScriptLoader は、アドオンの loadSubScript メソッドの呼び出し時に XPCNativeWrappers を適切に処理しません。これにより、リモートの攻撃者は、特定の内容を利用する細工された Web サイトを通じて、権限を取得することが容易になります。ラップ解除動作。 CVE-2011-3004に関連する問題。
CVE-2011-36483.6.24 より前の Mozilla Firefox、 4.x7.0 から までの Mozilla Firefox、および より前の Thunderbird および 5.03.1.6 からまでの Thunderbird におけるクロスサイトスクリプティングXSSの脆弱性により、リモートの攻撃者が、Shift JIS エンコーディングを伴う細工されたテキストを介して、任意の Web スクリプトまたは HTML を注入する可能性があります 7.0 。 。
CVE-2011-36503.6.24 より前の Mozilla Firefox、 4.x7.0 から までの Mozilla Firefox、ならびに より前の Thunderbird、 3.1.65.0 から までの Thunderbird は、多数の関数が含まれる JavaScript ファイルを適切に処理しません。これにより、ユーザーが支援するリモートの攻撃者が、サービス拒否メモリ破損を引き起こす可能性があります 7.0 。サービス拒否 (破損およびアプリケーションのクラッシュ) を引き起こしたり、
Tenableは、前述の記述ブロックをMiracleLinuxセキュリティアドバイザリから直接抽出しています。
Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。
ソリューション
影響を受ける firefox および/または xulrunner パッケージを更新してください。参考資料
プラグインの詳細
深刻度: Medium
ID: 284447
ファイル名: miracle_linux_AXSA-2012-81.nasl
バージョン: 1.1
タイプ: local
公開日: 2026/1/14
更新日: 2026/1/14
サポートされているセンサー: Nessus Agent, Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 5.9
Vendor
Vendor Severity: High
CVSS v2
リスクファクター: Critical
基本値: 10
現状値: 7.4
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C
CVSS スコアのソース: CVE-2011-2998
CVSS v3
リスクファクター: Medium
基本値: 6.1
現状値: 5.3
ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C
CVSS スコアのソース: CVE-2011-3648
脆弱性情報
CPE: p-cpe:/a:miracle:linux:firefox, p-cpe:/a:miracle:linux:xulrunner, cpe:/o:miracle:linux:4
必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/MiracleLinux/release, Host/MiracleLinux/rpm-list
エクスプロイトの容易さ: No known exploits are available
パッチ公開日: 2012/2/7
脆弱性公開日: 2011/9/27
参照情報
CVE: CVE-2011-2372, CVE-2011-2995, CVE-2011-2998, CVE-2011-2999, CVE-2011-3000, CVE-2011-3647, CVE-2011-3648, CVE-2011-3650