Debian DSA-1885-1:xulrunner - 複数の脆弱性

critical Nessus プラグイン ID 44750

Language:

概要

リモート Debian ホストに、セキュリティ更新がありません。

説明

iceweasel Web ブラウザなどの XUL アプリケーション用 Runtime 環境である、 XULRunner で、複数のリモート脆弱性が発見されています。Common Vulnerabilities and Exposures プロジェクトは次の問題を特定しています:

- CVE-2009-3070 Jesse Ruderman 氏は、レイアウトエンジンのクラッシュを発見しました。これにより、任意のコードが実行される可能性があります。

- CVE-2009-3071 Daniel Holbert 氏、Jesse Ruderman 氏、Olli Pettay 氏および「toshi」は、レイアウトエンジンのクラッシュを発見しました。これにより、任意のコードが実行される可能性があります。

- CVE-2009-3072 Josh Soref 氏、Jesse Ruderman 氏および Martin Wargers 氏は、レイアウトエンジンのクラッシュを発見しました。これにより、任意のコードが実行される可能性があります。

- CVE-2009-3074 Jesse Ruderman 氏は、JavaScript エンジンのクラッシュを発見しました。これにより、任意のコードが実行される可能性があります。

- CVE-2009-3075 Carsten Book 氏および「Taral」は、レイアウトエンジンのクラッシュを発見しました。これにより、任意のコードが実行される可能性があります。

- CVE-2009-3076 Jesse Ruderman 氏は、PCKS #11 セキュリティモジュールをインストール/削除するためのユーザーインターフェイスが十分情報を提供していないことを発見しました。これにより、ソーシャルエンジニアリング攻撃が可能になる可能性があります。

- CVE-2009-3077 XUL パーサーの不適切なポインター処理が、任意のコードの実行につながる可能性があることが判明しました。

- CVE-2009-3078 Juan Pablo Lopez Yacubian 氏は、一部の Unicode フォント文字の不適切なレンダリングが、ロケーションバーのなりすまし攻撃につながる可能性があることを発見しました。

ソリューション

xulrunner パッケージをアップグレードしてください。

安定版(stable)ディストリビューション(lenny)では、これらの問題はバージョン 1.9.0.14-0lenny1 で修正されています。

Etch リリースノートに記載されているように、旧安定版(oldstable)ディストリビューションの Mozilla 製品のセキュリティサポートは、標準の Etch セキュリティメンテナンスライフサイクルの終了前に、中止する必要があります。
安定版(stable)への更新、もしくはサポートのあるブラウザへの移行を強くお勧めします。

参考資料

https://security-tracker.debian.org/tracker/CVE-2009-3070

https://security-tracker.debian.org/tracker/CVE-2009-3071

https://security-tracker.debian.org/tracker/CVE-2009-3072

https://security-tracker.debian.org/tracker/CVE-2009-3074

https://security-tracker.debian.org/tracker/CVE-2009-3075

https://security-tracker.debian.org/tracker/CVE-2009-3076

https://security-tracker.debian.org/tracker/CVE-2009-3077

https://security-tracker.debian.org/tracker/CVE-2009-3078

https://www.debian.org/security/2009/dsa-1885

プラグインの詳細

深刻度: Critical

ID: 44750

ファイル名: debian_DSA-1885.nasl

バージョン: 1.17

タイプ: local

エージェント: unix

公開日: 2010/2/24

更新日: 2021/1/4

サポートされているセンサー: Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 6.7

CVSS v2

リスクファクター: Critical

Base Score: 10

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

脆弱性情報

CPE: p-cpe:/a:debian:debian_linux:xulrunner, cpe:/o:debian:debian_linux:5.0

必要な KB アイテム: Host/local_checks_enabled, Host/Debian/release, Host/Debian/dpkg-l

パッチ公開日: 2009/9/14

参照情報

CVE: CVE-2009-3070, CVE-2009-3071, CVE-2009-3072, CVE-2009-3074, CVE-2009-3075, CVE-2009-3076, CVE-2009-3077, CVE-2009-3078

CWE: 20, 94

DSA: 1885