Linux/Unix ホストには、ベンダーが提供するパッチが利用できない脆弱性の影響を受ける複数のパッケージがインストールされています。

  - XSLTProcessor でドキュメントを変換する際に実行される JavaScript コードは、use-after-free につながる可能性があります。この脆弱性は、Firefox < 137、Firefox ESR < 115.22、Firefox ESR < 128.9、Thunderbird < 137、Thunderbird < 128.9 に影響します。(CVE-2025-3028)

Nessus は、ベンダーによって報告されたパッケージの存在に依存していることに注意してください。

リモートの Fedora 40 ホストには、FEDORA-2025-4841d72caf のアドバイザリに記載された複数の脆弱性の影響を受けるパッケージがインストールされています。

    128.9.0 に更新してください

    * https://www.thunderbird.net/en-US/thunderbird/128.9.0esr/releasenotes/* https://www.mozilla.org/en-US/security/advisories/mfsa2025-24/

Tenable は、前述の記述ブロックを Fedora セキュリティアドバイザリから直接抽出しています。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

リモート Redhat Enterprise Linux 8 ホストに、RHSA-2025:3621 アドバイザリに記載されている複数の脆弱性の影響を受けるパッケージがインストールされています。

    Mozilla Firefox は、標準コンプライアンス、パフォーマンス、移植性のために設計されたオープンソースのウェブブラウザです。

    セキュリティ修正プログラム:

    * firefox: thunderbird: 非 BMP Unicode 文字による URL バーのスプーフィング (CVE-2025-3029)

    * firefox: thunderbird: XSLTProcessor によってトリガーされるメモリ解放後使用 (use-after-free) (CVE-2025-3028)

    * firefox: thunderbird: Firefox 137、Thunderbird 137、Firefox ESR 128.9、および Thunderbird 128.9 で修正されたメモリの安全性のバグ (CVE-2025-3030)

    影響、CVSSスコア、謝辞、その他の関連情報を含むセキュリティ問題の詳細については、「参照」セクションに記載されている CVe のページを参照してください。

Tenable は、前述の記述ブロックを Red Hat Enterprise Linux セキュリティアドバイザリから直接抽出しています。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

リモート Redhat Enterprise Linux 9 ホストに、RHSA-2025:4027 アドバイザリに記載されている複数の脆弱性の影響を受けるパッケージがインストールされています。

    Mozilla Thunderbird は、スタンドアロンのメールおよびニュースグループクライアントです。

    セキュリティ修正プログラム: 

    * thunderbird: XSLTProcessor によってトリガーされるメモリ解放後使用 (use-after-free) (CVE-2025-3028)

    * thunderbird: 非 BMP Unicode 文字による URL バーのスプーフィング (CVE-2025-3029)

    * thunderbird: Thunderbird 137 と Thunderbird 128.9 で修正されたメモリ安全性に関するバグ (CVE-2025-3030)

    影響、CVSS スコア、謝辞、その他の関連情報を含むセキュリティ問題の詳細については、「参照」セクションに記載されている CVE のページを参照してください。

Tenable は、前述の記述ブロックを Red Hat Enterprise Linux セキュリティアドバイザリから直接抽出しています。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

リモート RockyLinux 8 ホストに、RLSA-2025:4170 アドバイザリに記載されている複数の脆弱性の影響を受けるパッケージがインストールされています。

    * firefox: thunderbird: 非 BMP Unicode 文字による URL バーのスプーフィング (CVE-2025-3029)

    * firefox: thunderbird: XSLTProcessor によってトリガーされるメモリ解放後使用 (use-after-free) (CVE-2025-3028)

    * firefox: thunderbird: Firefox 137、Thunderbird 137、Firefox ESR 128.9、および Thunderbird 128.9 で修正されたメモリの安全性のバグ (CVE-2025-3030)

Tenable は、前述の記述ブロックを RockyLinux セキュリティアドバイザリから直接抽出しています。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

リモートの Windows ホストにインストールされている Thunderbird ESR は、128.9 より前のバージョンです。したがって、mfsa2025-24 のアドバイザリに記載されている複数の脆弱性の影響を受けます。

  - Firefox 136、Thunderbird 136、Firefox ESR 128.8、Thunderbird 128.8 に存在するメモリの安全性のバグこれらのバグの一部にはメモリ破損の証拠が示されており、当社では、十分な労力をもってすればこれらの一部を悪用し、任意のコードを実行することが可能であると推測しています。(CVE-2025-3030)

  - XSLTProcessor でドキュメントの変換中に JavaScript コードが実行されると、メモリ解放後使用 (Use After Free) エラーが発生する可能性があります。(CVE-2025-3028)

  - 特定の Unicode 文字を含む細工された URL は、ページの実際の出所を隠し、なりすまし攻撃につながる可能性があります。(CVE-2025-3029)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

リモートの Windows ホストにインストールされている Thunderbird は、128.9 より前のバージョンです。したがって、mfsa2025-24 のアドバイザリに記載されている複数の脆弱性の影響を受けます。

  - Firefox 136、Thunderbird 136、Firefox ESR 128.8、Thunderbird 128.8 に存在するメモリの安全性のバグこれらのバグの一部にはメモリ破損の証拠が示されており、当社では、十分な労力をもってすればこれらの一部を悪用し、任意のコードを実行することが可能であると推測しています。(CVE-2025-3030)

  - XSLTProcessor でドキュメントの変換中に JavaScript コードが実行されると、メモリ解放後使用 (Use After Free) エラーが発生する可能性があります。(CVE-2025-3028)

  - 特定の Unicode 文字を含む細工された URL は、ページの実際の出所を隠し、なりすまし攻撃につながる可能性があります。(CVE-2025-3029)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

リモートホストにインストールされている mozilla-firefox のバージョンは、128.9.0esr より前です。したがって、SSA:2025-091-01 のアドバイザリに記載されている複数の脆弱性の影響を受けます。

    セキュリティ問題を修正する新しい mozilla-firefox パッケージが、Slackware 15.0 および最新版で利用可能です。

Tenable は、前述の記述ブロックを mozilla-firefox セキュリティアドバイザリから直接抽出しています。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

リモートの Fedora 41 ホストには、FEDORA-2025-96c31e2086 のアドバイザリに記載された複数の脆弱性の影響を受けるパッケージがインストールされています。

    - 最新の Upstream に更新しました (137.0)

Tenable は、前述の記述ブロックを Fedora セキュリティアドバイザリから直接抽出しています。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

リモートの Fedora 40 ホストには、FEDORA-2025-d48f900812 のアドバイザリに記載された複数の脆弱性の影響を受けるパッケージがインストールされています。

    - 最新の Upstream に更新しました (137.0)

Tenable は、前述の記述ブロックを Fedora セキュリティアドバイザリから直接抽出しています。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

リモートの Debian 12 ホストには、dsa-5889 のアドバイザリに記載された複数の脆弱性の影響を受けるパッケージがインストールされています。

    - ------------------------------------------------------------------------- Debian セキュリティアドバイザリ DSA-5889-1 security@debian.org https://www.debian.org/security/Moritz Muehlenhoff 2025 年 4 月 2 日 https://www.debian.org/security/faq
    - -------------------------------------------------------------------------

    パッケージ : firefox-esr CVE ID : CVE-2025-3028 CVE-2025-3029 CVE-2025-3030

    Mozilla Firefox ウェブブラウザには複数のセキュリティの問題が見つかり、これにより任意コード実行やなりすましが発生する可能性があります。

    安定版 (stable) ディストリビューション (bookworm) では、これらの問題はバージョン 128.9.0esr-1~deb12u1 で修正されています。

    お使いの firefox-esr パッケージをアップグレードすることを推奨します。

    firefox-esr の詳細なセキュリティステータスについては、そのセキュリティトラッカーページを参照してください:
    https://security-tracker.debian.org/tracker/firefox-esr

    Debian セキュリティアドバイザリに関する詳細、これらの更新をシステムに適用する方法、およびよくある質問については、こちらを参照してください。https://www.debian.org/security/

    メーリングリスト: debian-security-announce@lists.debian.org

Tenable は、前述の説明ブロックを Debian セキュリティアドバイザリから直接抽出しました。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

リモートの Oracle Linux 9 ホストに、ELSA-2025-3556アドバイザリに記載されている複数の脆弱性の影響を受けるパッケージがインストールされています。

    [128.9.0-2.0.1]
    - 新しい nss の firefox-oracle-default-prefs.js を修正します [Orabug: 37079773]
    - firefox-oracle-default-prefs.js を追加し、対応する Red Hat ファイルを削除します

    [128.9.0]
    - ブランド解除パッチを追加します (Mustafa Gezen 氏)
    - OpenELA のデフォルトの環境設定を追加します (Louis Abel 氏)

    [128.9.0-2]
    - 128.9.0 build2 に更新します

    [128.9.0-1]
    - 128.9.0 build1 に更新します

Tenable は、前述の記述ブロックを Oracle Linux セキュリティアドバイザリから直接抽出しています。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

リモートのAlmaLinux 9ホストには、ALSA-2025:3556アドバイザリに記載された複数の脆弱性の影響を受けるパッケージがインストールされています。

    * firefox: thunderbird: 非 BMP Unicode 文字による URL バーのスプーフィング (CVE-2025-3029)
      * firefox: thunderbird: XSLTProcessor によってトリガーされるメモリ解放後使用 (use-after-free) (CVE-2025-3028)
      * firefox: thunderbird: Firefox 137、Thunderbird 137、Firefox ESR 128.9、および Thunderbird 128.9 で修正されたメモリの安全性のバグ (CVE-2025-3030)

Tenableは、前述の記述ブロックをAlmaLinuxセキュリティアドバイザリから直接抽出しています。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

リモート Redhat Enterprise Linux 8 ホストに、RHSA-2025:4031 アドバイザリに記載されている複数の脆弱性の影響を受けるパッケージがインストールされています。

    Mozilla Thunderbird は、スタンドアロンのメールおよびニュースグループクライアントです。

    セキュリティ修正プログラム: 

    * thunderbird: XSLTProcessor によってトリガーされるメモリ解放後使用 (use-after-free) (CVE-2025-3028)

    * thunderbird: 非 BMP Unicode 文字による URL バーのスプーフィング (CVE-2025-3029)

    * thunderbird: Thunderbird 137 と Thunderbird 128.9 で修正されたメモリ安全性に関するバグ (CVE-2025-3030)

    影響、CVSS スコア、謝辞、その他の関連情報を含むセキュリティ問題の詳細については、「参照」セクションに記載されている CVE のページを参照してください。

Tenable は、前述の記述ブロックを Red Hat Enterprise Linux セキュリティアドバイザリから直接抽出しています。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ID	名前	製品	ファミリー	公開日	更新日	深刻度
249411	Linux Distros のパッチ未適用の脆弱性: CVE-2025-3028	Nessus	Misc.	2025/8/15	2025/10/14	medium
234184	Fedora 40 : thunderbird (2025-4841d72caf)	Nessus	Fedora Local Security Checks	2025/4/11	2025/4/17	high
234279	RHEL 8 : firefox (RHSA-2025:3621)	Nessus	Red Hat Local Security Checks	2025/4/13	2025/6/5	high
234759	RHEL 9 : thunderbird (RHSA-2025:4027)	Nessus	Red Hat Local Security Checks	2025/4/23	2025/6/5	high
243126	RockyLinux 8: thunderbird (RLSA-2025:4170)	Nessus	Rocky Linux Local Security Checks	2025/7/30	2025/7/30	high
233644	Mozilla Thunderbird ESR < 128.9	Nessus	Windows	2025/4/1	2025/4/17	critical
233744	Mozilla Thunderbird < 128.9	Nessus	Windows	2025/4/2	2025/4/17	high
233745	Slackware Linux 15.0/ current mozilla-firefox の複数の脆弱性 (SSA:2025-091-01)	Nessus	Slackware Local Security Checks	2025/4/2	2025/4/2	high
233747	Fedora 41: firefox (2025-96c31e2086)	Nessus	Fedora Local Security Checks	2025/4/2	2025/5/5	high
233808	Fedora 40 : firefox (2025-d48f900812)	Nessus	Fedora Local Security Checks	2025/4/3	2025/5/5	high
233781	Debian dsa-5889 : firefox-esr - セキュリティ更新	Nessus	Debian Local Security Checks	2025/4/2	2025/4/2	high
233820	Oracle Linux 9 : firefox (ELSA-2025-3556)	Nessus	Oracle Linux Local Security Checks	2025/4/3	2025/9/11	high
233848	AlmaLinux 9firefoxALSA-2025:3556	Nessus	Alma Linux Local Security Checks	2025/4/4	2025/4/4	high
234765	RHEL 8: thunderbird（RHSA-2025:4031）	Nessus	Red Hat Local Security Checks	2025/4/23	2025/6/5	high

検出

プラグインの検索

medium

high

high

high

high

critical

high

high

high

high

high

high

high

high