検出

MiracleLinux 4firefox-38.2.0-4.0.1.AXS4AXSA:2015-442:07

medium Nessus プラグイン ID 289629

Language:

概要

リモートのMiracleLinuxホストに1つ以上のセキュリティ更新プログラムがありません。

説明

リモートの MiracleLinux 4 ホストには、AXSA:2015-442:07 アドバイザリで言及されているように、複数の脆弱性の影響を受けるパッケージがインストールされています。

 Mozilla Firefox は、オープンソースの Web ブラウザで、標準へのコンプライアンス、パフォーマンス、ポータブル性を考慮して設計されています。
 この更新では、次の問題が修正されました
 * CVE-2015-4473:
 40.0 より前の Mozilla Firefox および 38.x38.2 より前の Firefox ESR のブラウザエンジンにある複数の詳細不明な脆弱性により、リモートの攻撃者がサービス拒否メモリ破損およびアプリケーションクラッシュを引き起こすことや、未知のベクトルを介して任意のコードを実行する可能性があります。
 * CVE-2015-4475:
 40.0 より前の Mozilla Firefox および [ 38.2 より前の Firefox ESR 38.x の mozilla::AudioSink 関数が、MP3 オーディオデータ内の不整合なサンプルフォーマットを誤って処理します。これにより、リモートの攻撃者が、任意のコードを実行したり、サービス拒否領域外読み取りを引き起こしたりすることが可能です。不正な形式のファイルを介して引き起こされる可能性があります。
 * CVE-2015-4478:
 40.0 より前の Mozilla Firefox および [ 38.2 より前の Firefox ESR 38.x ] は、JavaScript オブジェクトプロパティに特定の ECMAScript 6 要件を強制しません。これにより、リモートの攻撃者が、JSON.parse メソッドへの reviver パラメーターを通じて、同一生成元ポリシーをバイパスすることが可能です。
 * CVE-2015-4479:
 40.0 より前の Mozilla Firefox および [ 38.2 より前の Firefox ESR 38.x の libstagefright の複数の整数オーバーフローにより、リモートの攻撃者が、MPEG-4 ビデオデータの細工された saio チャンクを介して任意のコードを実行することができます。
 * CVE-2015-4480:
 40.038.2 より前の Mozilla Firefox および [] より前の Firefox ESR 38.x における libstagefright のstagefright::SampleTable::isValid 関数にある整数オーバーフローにより、リモートの攻撃者が H.264 エンコーディングを持つ細工された MPEG-4 ビデオデータを通じて、任意のコードを実行することが可能です。
 * CVE-2015-4484:
 40.038.2 より前の Mozilla Firefox および [] より前の Firefox ESR 38.x における JavaScript 実装の js::jit::AssemblerX86Shared::lock_addl 関数により、リモートの攻撃者が、共有メモリの使用を利用することでサービス拒否アプリケーションクラッシュを引き起こすことが可能です。および (1) Atomics オブジェクトまたは (2) SharedArrayBuffer オブジェクトにアクセスすることを発見しました。
 * CVE-2015-4485:
 40.0 より前の Mozilla Firefox および [ 38.2 より前の Firefox ESR 38.x の libvpx の resize_context_buffers 関数にあるヒープベースのバッファオーバーフローにより、リモートの攻撃者が、無効な形式の WebM ビデオデータを介して任意のコードを実行することが可能です。
 * CVE-2015-4486:
 40.0 より前の Mozilla Firefox および [ 38.2 より前の Firefox ESR 38.x の libvpx の decrease_ref_count 関数により、リモートの攻撃者が、無効な形式の WebM 動画データを介して、任意のコードを実行したり、サービス拒否領域外読み取りを引き起こしたりすることが可能です。
 * CVE-2015-4487:
 より前の Mozilla Firefox、 より 38.2前の Firefox ESR 、および より前の Firefox OS の nsTSubstring::ReplacePrep 関数により 38.x 、 2.2 リモートの攻撃者が 40.0、サービス拒否メモリ破損を引き起こしたり、不明なベクトルを通じて詳細不明な他の影響を及ぼすことが可能です。オーバーフローに関連する。
 * CVE-2015-4488:
 より 40.0前の Mozilla Firefox、 より前の Firefox ESR 、および より 2.2 前の Firefox OS における StyleAnimationValue クラスの use-after 38.x - 38.2freeの脆弱性により、リモートの攻撃者が、StyleAnimationValue::operator 自己割り当てを利用することで、詳細不明な影響を与えることが可能です。
 * CVE-2015-4489:
 より 40.0前の Mozilla Firefox、 より 38.2前の 38.x Firefox ESR 、および より前の Firefox OS における nsTArray_Impl クラスにより、リモートの攻撃者が 2.2 、自己割り当てを利用することで、サービス拒否メモリ破損を引き起こしたり、他の特定されない影響を及ぼしたりする可能性があります。
 * CVE-2015-4491:
 Linux の 2.31.540.0 より前の Mozilla Firefox および 38.x38.2 より前の Firefox ESR 、Linux の Google Chrome およびその他の製品で使用される [] より前の gdk-pixbuf の pixops/pixops.c の make_filter_table 関数の整数オーバーフローにより、リモートの攻撃者が、攻撃者が、スケール変更時に誤処理される細工されたビットマップ寸法を介して、任意のコードを実行したり、サービス拒否ヒープベースのバッファオーバーフローおよびアプリケーションクラッシュを引き起したりする可能性があります。
 * CVE-2015-4492:
 40.0 より前の Mozilla Firefox および [ 38.2 より前の Firefox ESR 38.x の XMLHttpRequest::Open 実装にある use-after-free の脆弱性により、リモートの攻撃者が、XMLHttpRequest の open メソッドに対して再帰呼び出しを行う SharedWorker オブジェクトを通じて、任意のコードを実行する可能性があります。発見しました。
 * CVE-2015-4493:
 38.240.0 より前の Mozilla Firefox および 38.x より前の Firefox ESR における libstagefright のstagefright::ESDS::parseESDescriptor 関数のヒープベースのバッファオーバーフローにより、リモートの攻撃者が、MPEG-2 チャンクの無効なサイズフィールドを介して任意のコードを実行する可能性があります。 4 つの動画データに関連するベクトルを通じて、可用性に影響を与えることが可能です。

Tenableは、前述の記述ブロックをMiracleLinuxセキュリティアドバイザリから直接抽出しています。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

影響を受ける Firefox パッケージを更新してください。

参考資料

https://tsn.miraclelinux.com/en/node/5792

プラグインの詳細

深刻度: Medium

ID: 289629

ファイル名: miracle_linux_AXSA-2015-442.nasl

バージョン: 1.1

タイプ: local

公開日: 2026/1/16

更新日: 2026/1/16

サポートされているセンサー: Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 5.9

Vendor

Vendor Severity: High

CVSS v2

リスクファクター: Critical

基本値: 10

現状値: 7.4

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

CVSS スコアのソース: CVE-2015-4486

CVSS v3

リスクファクター: Medium

基本値: 6.5

現状値: 5.7

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H

現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C

CVSS スコアのソース: CVE-2015-4484

脆弱性情報

CPE: p-cpe:/a:miracle:linux:firefox, cpe:/o:miracle:linux:4

必要な KB アイテム: Host/local_checks_enabled, Host/MiracleLinux/release, Host/MiracleLinux/rpm-list, Host/cpu

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2015/8/20

脆弱性公開日: 2015/8/11

参照情報

CVE: CVE-2015-4473, CVE-2015-4475, CVE-2015-4478, CVE-2015-4479, CVE-2015-4480, CVE-2015-4484, CVE-2015-4485, CVE-2015-4486, CVE-2015-4487, CVE-2015-4488, CVE-2015-4489, CVE-2015-4491, CVE-2015-4492, CVE-2015-4493