検出

MiracleLinux 4firefox-17.0.5-1.0.1.AXS4、xulrunner-17.0.5-1.0.1.AXS4AXSA:2013-321:03

medium Nessus プラグイン ID 289245

Language:

概要

リモートのMiracleLinuxホストに1つ以上のセキュリティ更新プログラムがありません。

説明

リモートの MiracleLinux 4 ホストには、AXSA:2013-321:03 アドバイザリで言及されているように、複数の脆弱性の影響を受けるパッケージがインストールされています。

 XULRunner は、Firefox および Thunderbird のように豊富な XUL+XPCOM アプリケーションをブートストラップするために使用できる Mozilla ランタイムパッケージです。これらのアプリケーションをインストール、アップグレード、アンインストールするためのメカニズムを提供しています。XULRunner は、他のプロジェクトや製品で Mozilla テクノロジーの組み込みを可能にするソリューションである libxul も提供しています。
 このリリースで修正されたセキュリティ問題
 CVE-2013-078719.0.2より前の Mozilla Firefox、 より前の Firefox ESR 17.x 、より前の Thunderbird、 17.0.4より前の Thunderbird 17.x ESRにおける 17.0.4、 editor/libeditor/base/nsEditor.cpp の nsEditor::IsPreformatted 関数にある use-after-free の脆弱性。 17.0.4、および 2.16.1 より前の SeaMonkey では、リモートの攻撃者が、execCommand 呼び出しを伴うベクトルを通じて、任意のコードを実行することが可能です。
 CVE-2013-078820.0より前の Mozilla Firefox、 より 17.0.5前の Firefox ESR 17.x 、より前の Thunderbird 17.0.5、より前の Thunderbird ESR 17.x 、 17.0.5およびより前の SeaMonkey において、ブラウザエンジンでの複数の詳細不明な脆弱性により、リモートの攻撃者は 2.17 、サービス拒否メモリ破損とアプリケーションクラッシュを引き起こしたり、不明なベクトルを介して任意のコードを実行したりする可能性があります。
 CVE-2013-0793 より前の Mozilla Firefox、 17.x20.0より前の Firefox ESR 、 17.0.5より前の Thunderbird、 17.0.517.x より前の Thunderbird ESR 、および 2.1717.0.5より前の SeaMonkey は、履歴ナビゲーション中にアドレスバーの正確性を保証しません。これにより、リモートの攻撃者が、攻撃者が、ナビゲーションタイミングのコントロールを活用してクロスサイトスクリプティングXSS攻撃やフィッシング攻撃を実行する可能性があります。
 CVE-2013-079520.0より前の Mozilla Firefox、 より 17.0.5前の Firefox ESR 17.x 、より前の Thunderbird 17.0.5、より前の Thunderbird ESR 17.x 、および より前の SeaMonkey の System Only WrapperSOW実装は 17.0.5、 cloneNode の使用を妨げません 2.17 。これにより、リモートの攻撃者が、同一生成元ポリシーをバイパスしたり、細工された Web サイトを通じて chrome 権限で任意の JavaScript コードを実行したりする可能性があります。
 CVE-2013-0796 より前の Mozilla Firefox、 17.x20.0より前 2.17 の Firefox ESR 、[] より前の Thunderbird、 より前の Thunderbird ESR 、および 17.0.5より 17.0.5前 17.x の 17.0.5SeaMonkeyの WebGL サブシステムは、Linux 上の Mesa ドライバーと適切に相互作用せず、これによってリモートの攻撃者が詳細不明なベクトルを介して、任意のコードを実行したり、サービス拒否未割り当てメモリの解放を引き起こしたりする可能性があります。
 CVE-2013-080020.0Cairoで配布され、 より前の Mozilla Firefox 17.0.5、より前の Firefox ESR 17.x 、より前の Thunderbird 17.0.5、より前の Thunderbird ESR 17.x で使用されている、Pixman の pixman-sse2.c の pixman_fill_sse2 関数における整数符号エラー 17.0.5。 、 2.17より前の SeaMonkey、およびその他の製品では、リモートの攻撃者が、(1) 負のボックス境界または (2) 負のボックスサイズの使用試行を発生させる細工された値を通じて、任意のコードを実行することが可能です。これにより、領域外書き込みが発生します。発見しました。

Tenableは、前述の記述ブロックをMiracleLinuxセキュリティアドバイザリから直接抽出しています。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

影響を受ける firefox および/または xulrunner パッケージを更新してください。

参考資料

https://tsn.miraclelinux.com/en/node/3966

プラグインの詳細

深刻度: Medium

ID: 289245

ファイル名: miracle_linux_AXSA-2013-321.nasl

バージョン: 1.1

タイプ: local

公開日: 2026/1/16

更新日: 2026/1/16

サポートされているセンサー: Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 6.7

Vendor

Vendor Severity: High

CVSS v2

リスクファクター: Critical

基本値: 10

現状値: 7.8

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

CVSS スコアのソース: CVE-2013-0796

CVSS v3

リスクファクター: Medium

基本値: 6.1

現状値: 5.5

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N

現状ベクトル: CVSS:3.0/E:P/RL:O/RC:C

CVSS スコアのソース: CVE-2013-0793

脆弱性情報

CPE: p-cpe:/a:miracle:linux:firefox, p-cpe:/a:miracle:linux:xulrunner, cpe:/o:miracle:linux:4

必要な KB アイテム: Host/local_checks_enabled, Host/MiracleLinux/release, Host/MiracleLinux/rpm-list, Host/cpu

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2013/4/10

脆弱性公開日: 2013/3/7

参照情報

CVE: CVE-2013-0787, CVE-2013-0788, CVE-2013-0793, CVE-2013-0795, CVE-2013-0796, CVE-2013-0800