Debian DSA-2075-1:xulrunner - 複数の脆弱性

high Nessus プラグイン ID 47889

言語:

概要

リモート Debian ホストに、セキュリティ更新がありません。

説明

XUL アプリケーションのランタイム環境である Xulrunner で複数のリモート脆弱性が見つかりました。Common Vulnerabilities and Exposures プロジェクトは次の問題を特定しています:

- CVE-2010-0182 Wladimir Palant 氏は、XML の処理で、セキュリティチェックが十分に徹底されていないことを発見しました。

- CVE-2010-0654 Chris Evans 氏は、CSS の処理が安全でないため、ドメインの境界を越えてデータの読み取りが可能になることを発見しました。

- CVE-2010-1205 Aki Helin 氏は、libpng の内部コピーにバッファオーバーフローがあるため、任意のコードの実行が引き起こされる可能性があることを発見しました。

- CVE-2010-1208 「regenrecht」が、DOM 解析での不適切なメモリ処理によって、任意のコードが実行される可能性があることを発見しました。

- CVE-2010-1211 Jesse Ruderman 氏、Ehsan Akhgari 氏、Mats Palmgren 氏、Igor Bukanov 氏、Gary Kwong 氏、Tobias Markus 氏、および Daniel Holbert 氏は、レイアウトエンジンにクラッシュがあるため、任意のコードの実行が引き起こされる可能性があることを発見しました。

- CVE-2010-1214「JS3」は、プラグインコードに整数オーバーフローがあるため、任意のコードの実行が引き起こされる可能性があることを発見しました。

- CVE-2010-2751 Jordi Chancel 氏は、ロケーションが、保護されたページに見えるように偽装される可能性があることを発見しました。

- CVE-2010-2753「regenrecht」は、XUL の解析で不適切なメモリの処理があるため、任意のコードの実行が引き起こされる可能性があることを発見しました。

- CVE-2010-2754 Soroush Dalili 氏は、スクリプトの処理で情報漏洩があることを発見しました。

ソリューション

xulrunner パッケージをアップグレードしてください。

安定版(stable)ディストリビューション(lenny)では、これらの問題はバージョン 1.9.0.19-3 で修正されています。

関連情報

https://security-tracker.debian.org/tracker/CVE-2010-0182

https://security-tracker.debian.org/tracker/CVE-2010-0654

https://security-tracker.debian.org/tracker/CVE-2010-1205

https://security-tracker.debian.org/tracker/CVE-2010-1208

https://security-tracker.debian.org/tracker/CVE-2010-1211

https://security-tracker.debian.org/tracker/CVE-2010-1214

https://security-tracker.debian.org/tracker/CVE-2010-2751

https://security-tracker.debian.org/tracker/CVE-2010-2753

https://security-tracker.debian.org/tracker/CVE-2010-2754

https://www.debian.org/security/2010/dsa-2075

プラグインの詳細

深刻度: High

ID: 47889

ファイル名: debian_DSA-2075.nasl

バージョン: 1.18

タイプ: local

エージェント: unix

公開日: 2010/7/29

更新日: 2021/1/4

サポートされているセンサー: Agentless Assessment, Frictionless Assessment Agent, Nessus Agent

リスク情報

VPR

リスクファクター: High

スコア: 7.4

CVSS v2

リスクファクター: High

Base Score: 9.3

Temporal Score: 7.3

ベクトル: CVSS2#AV:N/AC:M/Au:N/C:C/I:C/A:C

現状ベクトル: CVSS2#E:POC/RL:OF/RC:C

脆弱性情報

CPE: p-cpe:/a:debian:debian_linux:xulrunner, cpe:/o:debian:debian_linux:5.0

必要な KB アイテム: Host/local_checks_enabled, Host/Debian/release, Host/Debian/dpkg-l

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2010/7/27

参照情報

CVE: CVE-2010-0182, CVE-2010-0654, CVE-2010-1205, CVE-2010-1208, CVE-2010-1211, CVE-2010-1214, CVE-2010-2751, CVE-2010-2753, CVE-2010-2754

BID: 41849, 41853, 41859, 41860, 41872, 41968, 39479, 41174, 41842

CWE: 94

DSA: 2075