Amazon Linux 2: thunderbird、--advisory ALAS2-2026-3290 (ALAS-2026-3290)
medium Nessus プラグイン ID 314564
Language:
概要
リモートの Amazon Linux 2 ホストに、セキュリティ更新プログラムがありません。説明
リモートホストにインストールされている thunderbird のバージョンは、140.10.0-1 より前のものです。したがって、ALAS2-2026-3290 のアドバイザリに記載されている複数の脆弱性の影響を受けます。thin_vecクレート内の「IntoIter::d rop」および「ThinVec::clear」関数での二重解放 / use-after-free(UAF)。「ptr::d rop_in_place」でのパニックにより、長さのゼロへの設定がスキップされます。(CVE-2026-6654)
DOM の use-after-free:コア &; HTML コンポーネント。この脆弱性は、Firefox 150、Firefox ESR 115.35、Firefox ESR 140.10 で修正されました。(CVE-2026-6746)
WebRTC コンポーネントの use-after-free。この脆弱性は、Firefox 150 および Firefox ESR 140.10 で修正されました。(CVE-2026-6747)
Audio/Video: Web Codecs コンポーネントの初期化されていないメモリこの脆弱性は、Firefox 150 および Firefox ESR 140.10 で修正されました。(CVE-2026-6748)
Graphics: Canvas2D コンポーネントの初期化されていないメモリによる情報漏洩。この脆弱性は、Firefox 150、Firefox ESR 115.35、Firefox ESR 140.10 で修正されました。(CVE-2026-6749)
Graphics: WebRender コンポーネントにおける権限昇格。この脆弱性は、Firefox 150、Firefox ESR 115.35、Firefox ESR 140.10 で修正されました。(CVE-2026-6750)
Audio/Video: Web Codecs コンポーネントの初期化されていないメモリこの脆弱性は、Firefox 150 および Firefox ESR 140.10 で修正されました。(CVE-2026-6751)
WebRTC コンポーネントの不適切な境界条件。この脆弱性は、Firefox 150、Firefox ESR 115.35、Firefox ESR 140.10 で修正されました。(CVE-2026-6752)
WebRTC コンポーネントの不適切な境界条件。この脆弱性は、Firefox 150 および Firefox ESR 140.10 で修正されました。(CVE-2026-6753)
JavaScript Engine コンポーネントのメモリ解放後使用 (Use After Free)。この脆弱性は、Firefox 150、Firefox ESR 115.35、Firefox ESR 140.10 で修正されました。(CVE-2026-6754)
JavaScript: WebAssembly コンポーネントの無効なポインター。この脆弱性は、Firefox 150 および Firefox ESR 140.10 で修正されました。(CVE-2026-6757)
ネットワークコンポーネントの権限昇格。この脆弱性は、Firefox 150 および Firefox ESR 140.10 で修正されました。(CVE-2026-6761)
DOM のなりすまし問題:コア &; HTML コンポーネント。この脆弱性は、Firefox 150、Firefox ESR 115.35、Firefox ESR 140.10 で修正されました。(CVE-2026-6762)
ファイル処理コンポーネントの緩和策バイパス。この脆弱性は、Firefox 150 および Firefox ESR 140.10 で修正されました。(CVE-2026-6763)
DOM: Device Interfaces コンポーネントの境界条件が正しくありません。この脆弱性は、Firefox 150 および Firefox ESR 140.10 で修正されました。(CVE-2026-6764)
Form Autofill コンポーネントにおける情報漏洩。この脆弱性は、Firefox 150 および Firefox ESR 140.10 で修正されました。(CVE-2026-6765)
NSS のライブラリコンポーネントにおける不適切な境界条件。この脆弱性は、Firefox 150、Firefox ESR 140.10、Thunderbird 150、および Thunderbird 140.10 で修正されています。(CVE-2026-6766)
NSS のライブラリコンポーネントにあるその他の問題。この脆弱性は、Firefox 150、Firefox ESR 115.35、Firefox ESR 140.10 で修正されました。(CVE-2026-6767)
Debugger コンポーネントにおける権限昇格。この脆弱性は、Firefox 150 および Firefox ESR 140.10 で修正されました。(CVE-2026-6769)
Storageのその他の問題:IndexedDB コンポーネント。この脆弱性は、Firefox 150 および Firefox ESR 140.10 で修正されました。(CVE-2026-6770)
DOM: Security コンポーネントの軽減バイパス。この脆弱性は、Firefox 150 および Firefox ESR 140.10 で修正されました。(CVE-2026-6771)
NSS のライブラリコンポーネントにおける不適切な境界条件。この脆弱性は、Firefox 150、Firefox ESR 115.35、Firefox ESR 140.10 で修正されました。(CVE-2026-6772)
WebRTC: Networking コンポーネントの境界の状態が正しくありません。この脆弱性は、Firefox 150 および Firefox ESR 140.10 で修正されました。(CVE-2026-6776)
メモリの安全性に関するバグが、Firefox ESR 115.34、Firefox ESR 140.9、Thunderbird ESR 140.9、Firefox 149、Thunderbird 149に存在します。これらのバグの一部にはメモリ破損の証拠が示されており、当社では、十分な労力をもってすればこれらの一部を悪用し、任意のコードを実行することが可能であると推測しています。(CVE-2026-6785)
メモリの安全性に関するバグが、Firefox ESR 140.9、Thunderbird ESR 140.9、Firefox 149、Thunderbird 149に存在します。
これらのバグの一部にはメモリ破損の証拠が示されており、当社では、十分な労力をもってすればこれらの一部を悪用し、任意のコードを実行することが可能であると推測しています。(CVE-2026-6786)
Tenable は、前述の記述ブロックをテスト済み製品のセキュリティアドバイザリから直接抽出しています。
Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。
ソリューション
「yum update thunderbird」または「yum update --advisory ALAS2-2026-3290」を実行してシステムを更新してください。参考資料
https://alas.aws.amazon.com//AL2/ALAS2-2026-3290.html
https://alas.aws.amazon.com/faqs.html
https://explore.alas.aws.amazon.com/CVE-2026-6654.html
https://explore.alas.aws.amazon.com/CVE-2026-6746.html
https://explore.alas.aws.amazon.com/CVE-2026-6747.html
https://explore.alas.aws.amazon.com/CVE-2026-6748.html
https://explore.alas.aws.amazon.com/CVE-2026-6749.html
https://explore.alas.aws.amazon.com/CVE-2026-6750.html
https://explore.alas.aws.amazon.com/CVE-2026-6751.html
https://explore.alas.aws.amazon.com/CVE-2026-6752.html
https://explore.alas.aws.amazon.com/CVE-2026-6753.html
https://explore.alas.aws.amazon.com/CVE-2026-6754.html
https://explore.alas.aws.amazon.com/CVE-2026-6757.html
https://explore.alas.aws.amazon.com/CVE-2026-6761.html
https://explore.alas.aws.amazon.com/CVE-2026-6762.html
https://explore.alas.aws.amazon.com/CVE-2026-6763.html
https://explore.alas.aws.amazon.com/CVE-2026-6764.html
https://explore.alas.aws.amazon.com/CVE-2026-6765.html
https://explore.alas.aws.amazon.com/CVE-2026-6766.html
https://explore.alas.aws.amazon.com/CVE-2026-6767.html
https://explore.alas.aws.amazon.com/CVE-2026-6769.html
https://explore.alas.aws.amazon.com/CVE-2026-6770.html
https://explore.alas.aws.amazon.com/CVE-2026-6771.html
https://explore.alas.aws.amazon.com/CVE-2026-6772.html
https://explore.alas.aws.amazon.com/CVE-2026-6776.html
プラグインの詳細
深刻度: Medium
ID: 314564
ファイル名: al2_ALAS-2026-3290.nasl
バージョン: 1.1
タイプ: Local
エージェント: unix
公開日: 2026/5/14
更新日: 2026/5/14
サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 6.7
CVSS v2
リスクファクター: Low
基本値: 3.6
現状値: 2.8
ベクトル: CVSS2#AV:L/AC:L/Au:N/C:P/I:P/A:N
CVSS スコアのソース: CVE-2026-6654
CVSS v3
リスクファクター: Medium
基本値: 5.1
現状値: 4.6
ベクトル: CVSS:3.0/AV:L/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N
現状ベクトル: CVSS:3.0/E:P/RL:O/RC:C
脆弱性情報
CPE: cpe:/o:amazon:linux:2, p-cpe:/a:amazon:linux:thunderbird
必要な KB アイテム: Host/local_checks_enabled, Host/AmazonLinux/release, Host/AmazonLinux/rpm-list
エクスプロイトが利用可能: true
エクスプロイトの容易さ: Exploits are available
パッチ公開日: 2026/5/14
脆弱性公開日: 2026/4/15
参照情報
CVE: CVE-2026-6654, CVE-2026-6746, CVE-2026-6747, CVE-2026-6748, CVE-2026-6749, CVE-2026-6750, CVE-2026-6751, CVE-2026-6752, CVE-2026-6753, CVE-2026-6754, CVE-2026-6757, CVE-2026-6761, CVE-2026-6762, CVE-2026-6763, CVE-2026-6764, CVE-2026-6765, CVE-2026-6766, CVE-2026-6767, CVE-2026-6769, CVE-2026-6770, CVE-2026-6771, CVE-2026-6772, CVE-2026-6776, CVE-2026-6785, CVE-2026-6786
IAVA: 2026-A-0390-S