Scientific Linux セキュリティ更新:SL3.x、SL4.x i386/x86_64 の seamonkey
critical Nessus プラグイン ID 60435
Language:
概要
リモート Scientific Linux ホストに 1 つ以上のセキュリティ更新がありません。説明
不正な形式の JavaScript コンテンツの処理に複数の欠陥が見つかりました。このような悪意あるコンテンツを含む Web ページがあるため、 SeaMonkey がクラッシュしたり、 SeaMonkey を実行するユーザーとして任意のコードが実行されたりする可能性があります。(CVE-2008-2801、 CVE-2008-2802、CVE-2008-2803)不正な形式の Web コンテンツの処理に様々な欠陥が見つかりました。悪意あるコンテンツを含む Web ページにより、 SeaMonkey がクラッシュしたり、 SeaMonkey を実行するユーザーとして任意のコードが実行されたりする可能性があります。
(CVE-2008-2798、 CVE-2008-2799、CVE-2008-2811)
無効な形式の Web コンテンツが表示される方法にいくつかの欠陥が見つかりました。特別に細工されたコンテンツを含む Web ページにより、 SeaMonkey のユーザーを騙して、機密情報を提供させることが可能です。(CVE-2008-2800)
SeaMonkey に 2 件のローカルファイル漏洩の欠陥が見つかりました。悪意あるコンテンツを含む Web ページにより、 SeaMonkey がローカルファイルのコンテンツをリモートの攻撃者に漏洩する可能性があります。(CVE-2008-2805、CVE-2008-2810)
無効な形式のプロパティファイルが SeaMonkey によって処理される方法で、欠陥が見つかりました。悪意のある拡張により初期化されていないメモリが読み取られる可能性があります。場合によっては機密データが拡張に漏洩することがあります。(CVE-2008-2807)
SeaMonkey がローカルファイル名の一覧表示をエスケープする方法で、欠陥が見つかりました。ユーザーが騙されて、悪意あるファイル名を含むローカルディレクトリを一覧表示した場合、 SeaMonkey を実行するユーザーの権限で、任意の JavaScript が実行される可能性があります。(CVE-2008-2808)
SeaMonkey が自己署名された証明書に関する情報を表示する方法で、欠陥が見つかりました。自己署名証明書に、複数の代替名エントリが含まれており、ユーザーにはすべてが表示されていなかった可能性があります。これによりユーザーは不明なサイトに誤って信頼を拡張してしまう可能性があります。(CVE-2008-2809)
ソリューション
影響を受けるパッケージを更新してください。参考資料
プラグインの詳細
深刻度: Critical
ID: 60435
ファイル名: sl_20080702_seamonkey_on_SL3_x.nasl
バージョン: 1.8
タイプ: local
エージェント: unix
公開日: 2012/8/1
更新日: 2021/1/14
サポートされているセンサー: Nessus Agent, Nessus
リスク情報
VPR
リスクファクター: High
スコア: 7.4
CVSS v2
リスクファクター: Critical
基本値: 10
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C
脆弱性情報
CPE: x-cpe:/o:fermilab:scientific_linux
必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/RedHat/release, Host/RedHat/rpm-list
エクスプロイトが利用可能: true
エクスプロイトの容易さ: Exploits are available
パッチ公開日: 2008/7/2
脆弱性公開日: 2008/7/7
エクスプロイト可能
CANVAS (CANVAS)
参照情報
CVE: CVE-2008-2798, CVE-2008-2799, CVE-2008-2800, CVE-2008-2801, CVE-2008-2802, CVE-2008-2803, CVE-2008-2805, CVE-2008-2807, CVE-2008-2808, CVE-2008-2809, CVE-2008-2810, CVE-2008-2811