検出

Debian DSA-3590-1:chromium ブラウザ - セキュリティ更新

high Nessus プラグイン ID 91429

Language:

概要

リモート Debian ホストに、セキュリティ更新がありません。

説明

Chromium Web ブラウザでいくつかの脆弱性が発見されました。

- CVE-2016-1667 Mariusz Mylinski 氏は、クロスオリジンバイパスを発見しました。

- CVE-2016-1668 Mariusz Mylinski 氏は、v8 へのバインディングでクロスオリジンバイパスを発見しました。

- CVE-2016-1669 Choongwoo Han 氏は、v8 JavaScript ライブラリでバッファオーバーフローを発見しました。

- CVE-2016-1670 レンダラープロセスに一意であるべきだった ID を再利用させる可能性がある、競合状態が見つかりました。

- CVE-2016-1672 Mariusz Mylinski 氏は、拡張バインディングでクロスオリジンバイパスを発見しました。

- CVE-2016-1673 Mariusz Mylinski 氏は、Blink/Webkit でクロスオリジンバイパスを発見しました。

- CVE-2016-1674 Mariusz Mylinski 氏は、拡張バインディングでさらに別のクロスオリジンバイパスを発見しました。

- CVE-2016-1675 Mariusz Mylinski 氏は、Blink/Webkit でさらに別のクロスオリジンバイパスを発見しました。

- CVE-2016-1676 Rob Wu 氏は、拡張バインディングでクロスオリジンバイパスを発見しました。

- CVE-2016-1677 Guang Gong 氏は、v8 JavaScript ライブラリで型の取り違え(Type Confusion)の問題を発見しました。

- CVE-2016-1678 Christian Holler 氏は、v8 JavaScript ライブラリでオーバーフローの問題を発見しました。

- CVE-2016-1679 Rob Wu 氏は、v8 へのバインディングで use-after-free の問題を発見しました。

- CVE-2016-1680 Atte Kettunen 氏は、skia ライブラリで use-after-free の問題を発見しました。

- CVE-2016-1681 Aleksandar Nikolic 氏は、pdfium ライブラリでオーバーフローの問題を発見しました。

- CVE-2016-1682 KingstonTime は、Content Security Policy(CSP)をバイパスする方法を発見しました。

- CVE-2016-1683 Nicolas Gregoire 氏は、libxslt ライブラリで領域外の書き込みの問題を発見しました。

- CVE-2016-1684 Nicolas Gregoire は、libxslt ライブラリで整数オーバーフローの問題を発見しました。

- CVE-2016-1685 Ke Liu 氏は、pdfium ライブラリで領域外の読み取りの問題を発見しました。

- CVE-2016-1686 Ke Liu 氏は、pdfium ライブラリでさらに別の領域外の読み取りの問題を発見しました。

- CVE-2016-1687 Rob Wu 氏は、拡張子の処理で情報漏洩を発見しました。

- CVE-2016-1688 Max Korenko 氏は、v8 JavaScript ライブラリで領域外の読み取りの問題を発見しました。

- CVE-2016-1689 Rob Wu 氏は、バッファオーバーフローの問題を発見しました。

- CVE-2016-1690 Rob Wu 氏は、use-after-free の問題を発見しました。

- CVE-2016-1691 Atte Kettunen 氏は、skia ライブラリでバッファオーバーフローの問題を発見しました。

- CVE-2016-1692 Til Jasper Ullrich 氏は、クロスオリジンバイパスの問題を発見しました。

- CVE-2016-1693 Khalil Zhani 氏は、ソフトウェア削除ツールのダウンロードが HTTP 接続を通じて行われていることを発見しました。

- CVE-2016-1694 Ryan Lester 氏および Bryant Zadegan 氏は、ブラウザキャッシュを消去する際に、ピン留めされた公開キーが削除されることを発見しました。

- CVE-2016-1695 chrome 開発チームが、内部監査時にさまざまな問題を発見および修正しました。

ソリューション

chromium-browser パッケージをアップグレードしてください。

安定版(stable)ディストリビューション(jessie)では、これらの問題はバージョン 51.0.2704.63-1~deb8u1 で修正されています。

参考資料

https://security-tracker.debian.org/tracker/CVE-2016-1667

https://security-tracker.debian.org/tracker/CVE-2016-1668

https://security-tracker.debian.org/tracker/CVE-2016-1669

https://security-tracker.debian.org/tracker/CVE-2016-1670

https://security-tracker.debian.org/tracker/CVE-2016-1672

https://security-tracker.debian.org/tracker/CVE-2016-1673

https://security-tracker.debian.org/tracker/CVE-2016-1674

https://security-tracker.debian.org/tracker/CVE-2016-1675

https://security-tracker.debian.org/tracker/CVE-2016-1676

https://security-tracker.debian.org/tracker/CVE-2016-1677

https://security-tracker.debian.org/tracker/CVE-2016-1678

https://security-tracker.debian.org/tracker/CVE-2016-1679

https://security-tracker.debian.org/tracker/CVE-2016-1680

https://security-tracker.debian.org/tracker/CVE-2016-1681

https://security-tracker.debian.org/tracker/CVE-2016-1682

https://security-tracker.debian.org/tracker/CVE-2016-1683

https://security-tracker.debian.org/tracker/CVE-2016-1684

https://security-tracker.debian.org/tracker/CVE-2016-1685

https://security-tracker.debian.org/tracker/CVE-2016-1686

https://security-tracker.debian.org/tracker/CVE-2016-1687

https://security-tracker.debian.org/tracker/CVE-2016-1688

https://security-tracker.debian.org/tracker/CVE-2016-1689

https://security-tracker.debian.org/tracker/CVE-2016-1690

https://security-tracker.debian.org/tracker/CVE-2016-1691

https://security-tracker.debian.org/tracker/CVE-2016-1692

https://security-tracker.debian.org/tracker/CVE-2016-1693

https://security-tracker.debian.org/tracker/CVE-2016-1694

https://security-tracker.debian.org/tracker/CVE-2016-1695

https://packages.debian.org/source/jessie/chromium-browser

https://www.debian.org/security/2016/dsa-3590

プラグインの詳細

深刻度: High

ID: 91429

ファイル名: debian_DSA-3590.nasl

バージョン: 2.17

タイプ: local

エージェント: unix

公開日: 2016/6/2

更新日: 2021/1/11

サポートされているセンサー: Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 6.7

CVSS v2

リスクファクター: High

基本値: 9.3

現状値: 6.9

ベクトル: CVSS2#AV:N/AC:M/Au:N/C:C/I:C/A:C

CVSS v3

リスクファクター: High

基本値: 8.8

現状値: 7.7

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C

脆弱性情報

CPE: p-cpe:/a:debian:debian_linux:chromium-browser, cpe:/o:debian:debian_linux:8.0

必要な KB アイテム: Host/local_checks_enabled, Host/Debian/release, Host/Debian/dpkg-l

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2016/6/1

脆弱性公開日: 2016/5/14

参照情報

CVE: CVE-2016-1667, CVE-2016-1668, CVE-2016-1669, CVE-2016-1670, CVE-2016-1672, CVE-2016-1673, CVE-2016-1674, CVE-2016-1675, CVE-2016-1676, CVE-2016-1677, CVE-2016-1678, CVE-2016-1679, CVE-2016-1680, CVE-2016-1681, CVE-2016-1682, CVE-2016-1683, CVE-2016-1684, CVE-2016-1685, CVE-2016-1686, CVE-2016-1687, CVE-2016-1688, CVE-2016-1689, CVE-2016-1690, CVE-2016-1691, CVE-2016-1692, CVE-2016-1693, CVE-2016-1694, CVE-2016-1695

DSA: 3590