Oracle Linux 4：thunderbird（ELSA-2007-0981）

high Nessus プラグイン ID 67593

Language:

概要

リモート Oracle Linux ホストにセキュリティ更新がありません。

説明

Red Hat セキュリティアドバイザリ 2007:0981 から：

いくつかのセキュリティのバグを修正する更新済みの Thunderbird パッケージが、 Red Hat Enterprise Linux 4 および 5 で現在利用可能です。

Red Hat セキュリティレスポンスチームは、この更新は重要度中のセキュリティ影響があると評価しています。

Mozilla Thunderbird はスタンドアロンのメールおよびニュースグループクライアントです。

Thunderbird が特定の無効な形式の HTML メールコンテンツを処理する方法でいくつかの欠陥が見つかりました。悪意あるコンテンツが含まれる HTML メールメッセージにより、Thunderbird がクラッシュしたり、Thunderbird を実行しているユーザーとして任意のコードが実行されたりする可能性があります。JavaScript のサポートは Thunderbird でデフォルトで無効になっています。これらの問題は、ユーザーが JavaScript を有効にしない限り悪用できません。（CVE-2007-5338、 CVE-2007-5339、CVE-2007-5340）

Thunderbird が無効な形式の HTML メールコンテンツを表示する方法でいくつかの欠陥が見つかりました。特別に細工されたコンテンツが含まれる HTML メールメッセージが、ユーザーを騙して、機密情報を開示させる可能性があります。（CVE-2007-1095、CVE-2007-3844、CVE-2007-3511、 CVE-2007-5334）

Thunderbird の sftp プロトコルハンドラーに欠陥が見つかりました。悪意のある HTML メールメッセージが、リモート sftp サイトのデータにアクセスして、機密ユーザーデータを盗み出す可能性があります。(CVE-2007-5337)

Thunderbird がダイジェスト認証リクエストを生成する方法でリクエスト分割の欠陥が見つかりました。ユーザーが特別に細工された URL を開いた場合、クロスサイトスクリプティング攻撃、Web キャッシュポイズニング、または他の同様の悪用が発生する可能性がありました。
(CVE-2007-2292)

Thunderbird のユーザーは、バックポートされたパッチが含まれるこれらのエラータパッケージへアップグレードし、これらの問題を修正することが推奨されます。