Debian DSA-4020-1:chromium-browser - 安全性更新
high Nessus Plugin ID 104414
語系:
概要
遠端 Debian 主機缺少安全性更新。說明
在 chromium 網頁瀏覽器中發現數個弱點。此外,此訊息相當於公告,宣布終止對 Debian 8 舊的穩定發行版本 (jessie) 中的 chromium 安全性支援。Debian 8 chromium 使用者若想要繼續進行安全性更新,強烈建議升級至最新的穩定發行版本 (stretch) Debian 9。另一個方法是換用 firefox 瀏覽器,此瀏覽器在 jessie 中還可繼續接收安全性更新一段時間。- CVE-2017-5124 在 MHTML 中發現一個跨網站指令碼問題。- CVE-2017-5125 在 skia 程式庫中發現一個堆積緩衝區溢位問題。- CVE-2017-5126 Luat Nguyen 在 pdfium 程式庫中發現一個釋放後使用問題。- CVE-2017-5127 Luat Nguyen 在 pdfium 程式庫中發現另一個釋放後使用問題。- CVE-2017-5128 Omair 在 WebGL 實作中發現一個堆積溢位問題。- CVE-2017-5129 Omair 在 WebAudio 實作中發現一個釋放後使用問題。- CVE-2017-5131 在 skia 程式庫中發現一個超出邊界寫入問題。- CVE-2017-5132 Guarav Dewan 在 WebAssembly 實作中發現一個錯誤。- CVE-2017-5133 Aleksandar Nikolic 在 skia 程式庫中發現一個超出邊界寫入問題。- CVE-2017-15386 WenXu Wu 發現一個使用者介面偽造問題。- CVE-2017-15387 Jun Kokatsu 發現一種可以繞過內容安全性原則的方法。- CVE-2017-15388 Kushal Arvind Shah 在 skia 程式庫中發現一個超出邊界讀取問題。- CVE-2017-15389 xisigr 發現一個 URL 偽造問題。- CVE-2017-15390 Haosheng Wang 發現一個 URL 偽造問題。- CVE-2017-15391 Joao Lucas Melo Brasio 發現延伸模組可繞過其限制的方法。- CVE-2017-15392 Xiaoyin Liu 在登錄金鑰實作中發現一個錯誤。- CVE-2017-15393 Svyat Mitin 在 devtools 中發現一個問題。- CVE-2017-15394 Sam 發現一個 URL 偽造問題。- CVE-2017-15395 Johannes Bergman 發現一個 NULL 指標解除參照問題。- CVE-2017-15396 Yuan Deng 在 v8 JavaScript 程式庫中發現一個堆疊溢位問題。解決方案
升級 chromium-browser 套件。針對舊的穩定發行版本 (jessie),已終止提供 chromium 的安全性支援。針對穩定的發行版本 (stretch),這些問題已在 62.0.3202.75-1~deb9u1 版本中修正。另請參閱
https://security-tracker.debian.org/tracker/CVE-2017-5124
https://security-tracker.debian.org/tracker/CVE-2017-5125
https://security-tracker.debian.org/tracker/CVE-2017-5126
https://security-tracker.debian.org/tracker/CVE-2017-5127
https://security-tracker.debian.org/tracker/CVE-2017-5128
https://security-tracker.debian.org/tracker/CVE-2017-5129
https://security-tracker.debian.org/tracker/CVE-2017-5131
https://security-tracker.debian.org/tracker/CVE-2017-5132
https://security-tracker.debian.org/tracker/CVE-2017-5133
https://security-tracker.debian.org/tracker/CVE-2017-15386
https://security-tracker.debian.org/tracker/CVE-2017-15387
https://security-tracker.debian.org/tracker/CVE-2017-15388
https://security-tracker.debian.org/tracker/CVE-2017-15389
https://security-tracker.debian.org/tracker/CVE-2017-15390
https://security-tracker.debian.org/tracker/CVE-2017-15391
https://security-tracker.debian.org/tracker/CVE-2017-15392
https://security-tracker.debian.org/tracker/CVE-2017-15393
https://security-tracker.debian.org/tracker/CVE-2017-15394
https://security-tracker.debian.org/tracker/CVE-2017-15395
https://security-tracker.debian.org/tracker/CVE-2017-15396
Plugin 詳細資訊
嚴重性: High
ID: 104414
檔案名稱: debian_DSA-4020.nasl
版本: 3.7
類型: local
代理程式: unix
已發布: 2017/11/7
已更新: 2021/1/4
支援的感應器: Agentless Assessment, Frictionless Assessment Agent, Nessus Agent, Nessus
風險資訊
VPR
風險因素: Medium
分數: 5.9
CVSS v2
風險因素: Medium
基本分數: 6.8
時間分數: 5.3
媒介: CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P
CVSS v3
風險因素: High
基本分數: 8.8
時間分數: 7.9
媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
時間媒介: CVSS:3.0/E:P/RL:O/RC:C
弱點資訊
CPE: p-cpe:/a:debian:debian_linux:chromium-browser, cpe:/o:debian:debian_linux:9.0
必要的 KB 項目: Host/local_checks_enabled, Host/Debian/release, Host/Debian/dpkg-l
可被惡意程式利用: true
可輕鬆利用: Exploits are available
修補程式發佈日期: 2017/11/5
弱點發布日期: 2018/2/7
參考資訊
CVE: CVE-2017-15386, CVE-2017-15387, CVE-2017-15388, CVE-2017-15389, CVE-2017-15390, CVE-2017-15391, CVE-2017-15392, CVE-2017-15393, CVE-2017-15394, CVE-2017-15395, CVE-2017-15396, CVE-2017-5124, CVE-2017-5125, CVE-2017-5126, CVE-2017-5127, CVE-2017-5128, CVE-2017-5129, CVE-2017-5131, CVE-2017-5132, CVE-2017-5133
DSA: 4020