Ubuntu 14.04 LTS / 16.04 LTS:firefox 迴歸 (USN-3596-2)

critical Nessus Plugin ID 108949
新推出!Plugin 嚴重性目前使用 CVSS v3

計算 Plugin 嚴重性已更新為預設使用 CVSS v3 沒有 CVSS v3 評分的 Plugin 會回歸到以 CVSS v2 計算嚴重性。您可在設定下拉式選單中切換顯示嚴重性的喜好設定

Synopsis

遠端 Ubuntu 主機缺少安全性相關修補程式。

描述

USN-3596-1 已修正 Firefox 中的弱點。更新造成問題,其中在 Unity 執行 Firefox 時無法自訂工具列。此更新可修正該問題。由此給您帶來的不便,我們深表歉意。原始公告詳細資料:在 Firefox 中發現多個安全性問題。如果使用者遭誘騙而開啟特製網站,攻擊者可能會利用這些弱點透過應用程式損毀造成拒絕服務或開啟新分頁、繞過沙箱、繞過相同來源的限制、取得敏感資訊、以誤導的權限要求混淆使用者或執行任意程式碼。(CVE-2018-5125、CVE-2018-5126、CVE-2018-5127、CVE-2018-5128、CVE-2018-5129、CVE-2018-5130、CVE-2018-5136、CVE-2018-5137、CVE-2018-5140、CVE-2018-5141、CVE-2018-5142) 據發現,在某些情況下,fetch() API 未正確傳回快取的 no-store/no-cache 資源副本。本機攻擊者可能會利用此弱點,在多位使用者共用一般設定檔的環境中取得敏感資訊。(CVE-2018-5131) 在 WebExtensions 中發現多個安全性問題。如果使用者遭誘騙而安裝特製的延伸模組,攻擊者可能會利用這些弱點取得敏感資訊或繞過安全性限制。(CVE-2018-5132、CVE-2018-5134、CVE-2018-5135) 據發現,app.support.baseURL 的值未正確清理。如果惡意本機應用程式將此值設定為特製的值,攻擊者可能會利用此弱點執行任意程式碼。(CVE-2018-5133) 據發現,可將內嵌 Tab 字元的 javascript: URL 貼到網址列。如果使用者遭到誘騙而將特製的 URL 複製到網址列,攻擊者可利用此弱點發動跨網站指令碼 (XSS) 攻擊。(CVE-2018-5143)。請注意,Tenable Network Security 已直接從 Ubuntu 安全性公告擷取前置描述區塊。Tenable 已盡量在不造成其他問題的前提下,嘗試自動清理並將其格式化。

解決方案

更新受影響的 firefox 套件。

另請參閱

https://usn.ubuntu.com/3596-2/

Plugin 詳細資訊

嚴重性: Critical

ID: 108949

檔案名稱: ubuntu_USN-3596-2.nasl

版本: 1.6

類型: local

代理程式: unix

已發布: 2018/4/10

已更新: 2019/9/18

相依性: ssh_get_info.nasl

風險資訊

VPR

風險因素: Medium

分數: 6.7

CVSS v2

風險因素: High

基本分數: 7.5

媒介: AV:N/AC:L/Au:N/C:P/I:P/A:P

CVSS v3

風險因素: Critical

基本分數: 9.8

媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

弱點資訊

CPE: p-cpe:/a:canonical:ubuntu_linux:firefox, cpe:/o:canonical:ubuntu_linux:14.04, cpe:/o:canonical:ubuntu_linux:16.04

必要的 KB 項目: Host/cpu, Host/Ubuntu, Host/Ubuntu/release, Host/Debian/dpkg-l

修補程式發佈日期: 2018/4/6

弱點發布日期: 2018/6/11

參考資訊

CVE: CVE-2018-5125, CVE-2018-5126, CVE-2018-5127, CVE-2018-5128, CVE-2018-5129, CVE-2018-5130, CVE-2018-5131, CVE-2018-5132, CVE-2018-5133, CVE-2018-5134, CVE-2018-5135, CVE-2018-5136, CVE-2018-5137, CVE-2018-5140, CVE-2018-5141, CVE-2018-5142, CVE-2018-5143

USN: 3596-2