検出

Amazon Linux 2023 : firefox (ALAS2023-2026-1725)

high Nessus プラグイン ID 316905

Language:

概要

リモートの Amazon Linux 2023 ホストに、セキュリティ更新プログラムがありません。

説明

したがって、ALAS2023-2026-1725 のアドバイザリに記載されている複数の脆弱性の影響を受けます。

 2.8.1以前のlibexpatでは、属性名衝突チェックの計算複雑さにより、適度なサイズで細工されたXML入力を介して、サービス拒否が発生する可能性があります。(CVE-2026-45186)

 DOM の use-after-free: ネットワーキングコンポーネント。この脆弱性は、Firefox 150.0.2、Firefox ESR 140.10.2、および Firefox ESR 115.35.2 で修正されました。(CVE-2026-8090)

 Audio/Video: Playback コンポーネントの不適切な境界条件。この脆弱性は、Firefox 150、Thunderbird 150、Firefox ESR 140.10.1、Thunderbird 140.10.1、Firefox ESR 115.35.2 で修正されています。
 (CVE-2026-8091)

 メモリの安全性に関するバグが、Firefox ESR 115.35.1、Firefox ESR 140.10.1 、Firefox 150.0.1 に存在します。これらのバグの一部にはメモリ破損の証拠が示されており、当社では、手間をかけることにより、これらの一部が悪用され、任意のコードが実行される可能性があると推測しています。この脆弱性は、Firefox 150.0.2、Firefox ESR 140.10.2、および Firefox ESR 115.35.2 で修正されました。(CVE-2026-8092)

 WebRTC コンポーネントのその他の問題。この脆弱性は、Firefox ESR 140.10.2 で修正されました。(CVE-2026-8094)

Tenable は、前述の記述ブロックをテスト済み製品のセキュリティアドバイザリから直接抽出しています。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

「dnf update firefox --releasever 2023.11.20260526」または「dnf update --advisory ALAS2023-2026-1725 --releasever 2023.11.20260526」を実行してシステムを更新してください。

参考資料

https://alas.aws.amazon.com//AL2023/ALAS2023-2026-1725.html

https://alas.aws.amazon.com/faqs.html

https://explore.alas.aws.amazon.com/CVE-2026-45186.html

https://explore.alas.aws.amazon.com/CVE-2026-8090.html

https://explore.alas.aws.amazon.com/CVE-2026-8091.html

https://explore.alas.aws.amazon.com/CVE-2026-8092.html

https://explore.alas.aws.amazon.com/CVE-2026-8094.html

プラグインの詳細

深刻度: High

ID: 316905

ファイル名: al2023_ALAS2023-2026-1725.nasl

バージョン: 1.1

タイプ: Local

エージェント: unix

公開日: 2026/5/27

更新日: 2026/5/27

サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 6.7

CVSS v2

リスクファクター: High

基本値: 7.8

現状値: 6.1

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:N/I:N/A:C

CVSS スコアのソース: CVE-2026-45186

CVSS v3

リスクファクター: High

基本値: 7.5

現状値: 6.7

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

現状ベクトル: CVSS:3.0/E:P/RL:O/RC:C

脆弱性情報

CPE: p-cpe:/a:amazon:linux:firefox, p-cpe:/a:amazon:linux:firefox-debugsource, cpe:/o:amazon:linux:2023, p-cpe:/a:amazon:linux:firefox-debuginfo

必要な KB アイテム: Host/local_checks_enabled, Host/AmazonLinux/release, Host/AmazonLinux/rpm-list

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2026/5/26

脆弱性公開日: 2026/4/21

参照情報

CVE: CVE-2026-45186, CVE-2026-8090, CVE-2026-8091, CVE-2026-8092, CVE-2026-8094

IAVA: 2026-A-0409-S