CentOS 4 / 5：thunderbird（CESA-2008:0616）

critical Nessus プラグイン ID 43702

Language:

概要

リモートの CentOS ホストにセキュリティ更新がありません。

説明

セキュリティ上の問題を修正する更新済みの thunderbird パッケージが、 Red Hat Enterprise Linux 4 および Red Hat Enterprise Linux 5 で現在利用可能です。

Red Hat セキュリティレスポンスチームは、この更新は重要度中のセキュリティ影響があると評価しています。

Mozilla Thunderbird はスタンドアロンのメールおよびニュースグループクライアントです。

不正な形式の JavaScript コンテンツの処理に複数の欠陥が見つかりました。このような悪意のあるコンテンツを含む HTML メールは、Thunderbird がクラッシュしたり、Thunderbird の実行ユーザーとして任意のコードを実行してしまう可能性があります。（CVE-2008-2801、 CVE-2008-2802、CVE-2008-2803）

不正な形式の HTML コンテンツの処理にいくつかの欠陥が見つかりました。
悪意のあるコンテンツを含む HTML メールは、Thunderbird がクラッシュしたり、Thunderbird の実行ユーザーとして任意のコードを実行してしまう可能性があります。（CVE-2008-2785、CVE-2008-2798、CVE-2008-2799、 CVE-2008-2811）

無効な形式の HTML コンテンツを表示する方法にいくつかの欠陥が見つかりました。特別に細工されたコンテンツを含む HTML メールを使って、Thunderbird ユーザーを騙し、機密情報を提供させる可能性があります。（CVE-2008-2800）

Thunderbird に 2 件のローカルファイル漏洩の欠陥が見つかりました。悪意のあるコンテンツを含む HTML メールにより、Thunderbird でローカルファイルのコンテンツがリモートの攻撃者に開示されてしまう可能性があります。（CVE-2008-2805、CVE-2008-2810）

Thunderbird が無効な形式の .properties ファイルを処理する方法に欠陥が見つかりました。悪意のある拡張により初期化されていないメモリが読み取られる可能性があります。場合によっては機密データが拡張に漏洩することがあります。（CVE-2008-2807）

Thunderbird でローカルファイル名のリスティングをエスケープする方法に欠陥が見つかりました。ユーザーが騙されて悪意のあるファイル名を含むローカルディレクトリをリスティングした場合、Thunderbird の実行ユーザーの権限で任意の JavaScript を実行する可能性があります。（CVE-2008-2808）

Thunderbird で自己署名された証明書に関する情報を表示する方法に欠陥が見つかりました。自己署名証明書に、複数の代替名エントリが含まれており、ユーザーにはすべてが表示されていなかった可能性があります。これによりユーザーは不明なサイトに誤って信頼を拡張してしまう可能性があります。（CVE-2008-2809）

注：Thunderbird では、JavaScript サポートがデフォルトで無効になっています。JavaScript が有効になっていない限り、上記の問題が悪用されることはありません。

Thunderbird のすべてのユーザーは、更新されたこれらのパッケージにアップグレードする必要があります。ここには、これらの問題を解決するバックポートされたパッチが収納されています。