Oracle Linux 3:seamonkey(ELSA-2009-1185)

high Nessus プラグイン ID 67903

概要

リモート Oracle Linux ホストに、1 つ以上のセキュリティ更新がありません。

説明

Red Hat セキュリティアドバイザリ 2009:1185 から:

1 つのセキュリティ問題を修正する更新済みの SeaMonkey パッケージが、Red Hat Enterprise Linux 3 で現在利用可能です。

Red Hat セキュリティレスポンスチームは、この更新には重大なセキュリティインパクトがあるものとして評価しています。

SeaMonkey は、オープンソースの Web ブラウザ、電子メールおよびニュースグループクライアント、IRC チャットクライアント、HTML エディターです。

Moxie Marlinspike 氏は、証明書の共通名を一致させるのに使用される NSS ライブラリ(SeaMonkey 提供)の正規表現パーサーに、ヒープオーバーフローの欠陥があることを報告しました。悪意ある Web サイトが、ヒープオーバーフローを発生させ、注意深く細工された証明書を提示することが可能です。これにより、クラッシュが発生したり、 SeaMonkey を実行しているユーザーの権限で任意のコードが実行されたりする可能性があります。(CVE-2009-2404)

注:これ以上のユーザーインタラクションなしにこの問題を悪用するためには、注意深くに細工された証明書に SeaMonkey が信頼する認証局による署名が必要です。この署名がない場合、SeaMonkey は証明書が信頼されないものであることを被害者に警告します。
その後、ユーザーが証明書を受け入れた場合のみ、オーバーフローが発生します。

SeaMonkey の全ユーザーは、バックポートされたパッチが含まれるこれらの更新済みパッケージへアップグレードし、この問題を修正する必要があります。更新済みのパッケージのインストール後、この更新を有効にするために、SeaMonkey を再起動する必要があります。

ソリューション

影響を受ける seamonkey パッケージを更新してください。

参考資料

https://oss.oracle.com/pipermail/el-errata/2009-July/001098.html

プラグインの詳細

深刻度: High

ID: 67903

ファイル名: oraclelinux_ELSA-2009-1185.nasl

バージョン: 1.9

タイプ: local

エージェント: unix

公開日: 2013/7/12

更新日: 2021/1/14

サポートされているセンサー: Frictionless Assessment Agent, Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 5.9

CVSS v2

リスクファクター: High

Base Score: 9.3

ベクトル: CVSS2#AV:N/AC:M/Au:N/C:C/I:C/A:C

脆弱性情報

CPE: p-cpe:/a:oracle:linux:seamonkey, p-cpe:/a:oracle:linux:seamonkey-chat, p-cpe:/a:oracle:linux:seamonkey-devel, p-cpe:/a:oracle:linux:seamonkey-dom-inspector, p-cpe:/a:oracle:linux:seamonkey-js-debugger, p-cpe:/a:oracle:linux:seamonkey-mail, p-cpe:/a:oracle:linux:seamonkey-nspr, p-cpe:/a:oracle:linux:seamonkey-nspr-devel, p-cpe:/a:oracle:linux:seamonkey-nss, p-cpe:/a:oracle:linux:seamonkey-nss-devel, cpe:/o:oracle:linux:3

必要な KB アイテム: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/OracleLinux

パッチ公開日: 2009/7/31

脆弱性公開日: 2009/8/3

参照情報

CVE: CVE-2009-2404

CWE: 119

RHSA: 2009:1185