Debian DSA-2064-1:xulrunner - 複数の脆弱性

high Nessus プラグイン ID 47153

言語:

概要

リモート Debian ホストに、セキュリティ更新がありません。

説明

XUL アプリケーションのランタイム環境である Xulrunner で複数のリモート脆弱性が見つかりました。Common Vulnerabilities and Exposures プロジェクトは次の問題を特定しています:

- CVE-2010-0183 「wushi」は、フレーム処理コードでの不適切なポインターの処理により、任意のコードが実行される可能性があることを発見しました。

- CVE-2010-1196 「Nils」は、DOM ノード解析での整数オーバーフローにより、任意のコードが実行される可能性があることを発見しました。

- CVE-2010-1197 Ilja von Sprundel 氏は、Content-Disposition ヘッダーの正しくない解析が、クロスサイトスクリプティングにつながる可能性があることを発見しました。

- CVE-2010-1198 Microsoft のエンジニアたちは、ブラウザプラグインのインタラクションの正しくないメモリ処理が、任意のコードの実行につながる可能性があることを発見しました。

- CVE-2010-1199 Martin Barbella 氏は、XSLT ノード解析での整数オーバーフローにより、任意のコードが実行される可能性があることを発見しました。

- CVE-2010-1200 Olli Pettay 氏、Martijn Wargers 氏、Justin Lebar 氏、Jesse Ruderman 氏、Ben Turner 氏、Jonathan Kew 氏および David Humphrey 氏は、任意のコードの実行を可能にする可能性があるレイアウトエンジンのクラッシュを発見しました。

- CVE-2010-1201 「boardraider」および「stedenon」は、レイアウトエンジンのクラッシュを発見しました。これにより、任意のコードが実行される可能性があります。

- CVE-2010-1202 Bob Clary 氏、Igor Bukanov 氏、Gary Kwong 氏および Andreas Gal 氏は、JavaScript エンジンのクラッシュを発見しました。これにより、任意のコードが実行される可能性があります。

ソリューション

xulrunner パッケージをアップグレードしてください。

安定版(stable)ディストリビューション(lenny)では、これらの問題はバージョン 1.9.0.19-2 で修正されています。

関連情報

https://security-tracker.debian.org/tracker/CVE-2010-0183

https://security-tracker.debian.org/tracker/CVE-2010-1196

https://security-tracker.debian.org/tracker/CVE-2010-1197

https://security-tracker.debian.org/tracker/CVE-2010-1198

https://security-tracker.debian.org/tracker/CVE-2010-1199

https://security-tracker.debian.org/tracker/CVE-2010-1200

https://security-tracker.debian.org/tracker/CVE-2010-1201

https://security-tracker.debian.org/tracker/CVE-2010-1202

https://www.debian.org/security/2010/dsa-2064

プラグインの詳細

深刻度: High

ID: 47153

ファイル名: debian_DSA-2064.nasl

バージョン: 1.16

タイプ: local

エージェント: unix

公開日: 2010/6/29

更新日: 2021/1/4

サポートされているセンサー: Frictionless Assessment Agent, Nessus Agent

リスク情報

VPR

リスクファクター: Medium

スコア: 6.7

CVSS v2

リスクファクター: High

Base Score: 9.3

Temporal Score: 7.3

ベクトル: AV:N/AC:M/Au:N/C:C/I:C/A:C

現状ベクトル: E:POC/RL:OF/RC:C

脆弱性情報

CPE: p-cpe:/a:debian:debian_linux:xulrunner, cpe:/o:debian:debian_linux:5.0

必要な KB アイテム: Host/local_checks_enabled, Host/Debian/release, Host/Debian/dpkg-l

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2010/6/27

参照情報

CVE: CVE-2010-0183, CVE-2010-1196, CVE-2010-1197, CVE-2010-1198, CVE-2010-1199, CVE-2010-1200, CVE-2010-1201, CVE-2010-1202

BID: 41082, 41087, 41090, 41093, 41094, 41100, 41102, 41103

DSA: 2064