Ubuntu 10.04 LTS/10.10/11.04:thunderbirdの脆弱性(USN-1254-1)

high Nessus プラグイン ID 57393

概要

リモートのUbuntuホストにセキュリティ関連のパッチがありません。

説明

アドオンにおける潜在的な権限昇格に対処する CVE-2011-3004 が、Thunderbird 3.1 にも影響を与えることが判明しました。攻撃者が、loadSubscriptを脆弱的な方法で使用するアドオンをインストールしたユーザーを悪用する可能性があります。(CVE-2011-3647)

Yosuke Hasegawa は、Mozilla ブラウザエンジンが Shift-JIS エンコーディングで無効シーケンスを不適切に処理することを、発見しました。API をデバッグしないでこのクラッシュを発生させることが可能な場合があり、それが悪意ある Web サイトによるこの脆弱性の悪用を可能にする場合があります。攻撃者がこの欠陥を利用することで、データを盗み出したり、悪意のあるスクリプトを Web コンテンツに注入できるおそれがあります。(CVE-2011-3648)

Marc Schoenefeld は、多くの機能がある JavaScript ファイルのプロファイリングに Firebug を使用すると、 Firefox がクラッシュすることを、発見しました。攻撃者が、デバッギング API を使用せずにこれを悪用できる可能性があります。これにより、攻撃者がリモートで Thunderbird をクラッシュさせる可能性があります。
(CVE-2011-3650)。

注意: Tenable Network Securityは、前述の説明ブロックをUbuntuセキュリティアドバイザリから直接抽出しています。Tenableでは、新たな問題を持ち込まずに、できる限り自動的に整理して書式設定するようにしています。

ソリューション

影響を受けるthunderbirdパッケージを更新してください。

参考資料

https://usn.ubuntu.com/1254-1/

プラグインの詳細

深刻度: High

ID: 57393

ファイル名: ubuntu_USN-1254-1.nasl

バージョン: 1.10

タイプ: local

エージェント: unix

公開日: 2011/12/23

更新日: 2019/9/19

サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 5.9

CVSS v2

リスクファクター: High

Base Score: 9.3

Temporal Score: 6.9

ベクトル: CVSS2#AV:N/AC:M/Au:N/C:C/I:C/A:C

脆弱性情報

CPE: p-cpe:/a:canonical:ubuntu_linux:thunderbird, cpe:/o:canonical:ubuntu_linux:10.04:-:lts, cpe:/o:canonical:ubuntu_linux:10.10, cpe:/o:canonical:ubuntu_linux:11.04

必要な KB アイテム: Host/cpu, Host/Debian/dpkg-l, Host/Ubuntu, Host/Ubuntu/release

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2011/12/22

脆弱性公開日: 2011/9/28

参照情報

CVE: CVE-2011-3004, CVE-2011-3647, CVE-2011-3648, CVE-2011-3650

BID: 50589, 50593, 50595

USN: 1254-1