Debian DSA-4256-1:chromium-browser - 安全性更新

critical Nessus Plugin ID 111360

概要

遠端 Debian 主機缺少安全性更新。

說明

在 chromium 網頁瀏覽器中發現數個弱點。- CVE-2018-4117 AhsanEjaz 發現一個資訊洩漏問題。- CVE-2018-6044 Rob Wu 發現一個使用延伸模組提升權限的方法。- CVE-2018-6150 Rob Wu 發現一個資訊洩漏問題 (此問題已在前版修正,但當時在上游的公告中被錯誤地忽略)。- CVE-2018-6151 Rob Wu 在開發人員工具中發現一個問題 (此問題已在前版修正,但當時在上游的公告中被錯誤地忽略)。- CVE-2018-6152 Rob Wu 在開發人員工具中發現一個問題 (此問題已在前版修正,但當時在上游的公告中被錯誤地忽略)。- CVE-2018-6153 Zhen Zhou 在 skia 程式庫中發現一個緩衝區溢位問題。- CVE-2018-6154 Omair 在 WebGL 實作中發現一個緩衝區溢位問題。- CVE-2018-6155 Natalie Silvanovich 在 WebRTC 實作中發現一個釋放後使用問題。- CVE-2018-6156 Natalie Silvanovich 在 WebRTC 實作中發現一個緩衝區溢位問題。- CVE-2018-6157 Natalie Silvanovich 在 WebRTC 實作中發現一個類型混淆問題。- CVE-2018-6158 Zhe Jin 發現一個釋放後使用問題。- CVE-2018-6159 Jun Kokatsu 發現一種可以繞過同源原則的方法。- CVE-2018-6161 Jun Kokatsu 發現一種可以繞過同源原則的方法。- CVE-2018-6162 Omair 在 WebGL 實作中發現一個緩衝區溢位問題。- CVE-2018-6163 Khalil Zhani 發現一個 URL 偽造問題。- CVE-2018-6164 Jun Kokatsu 發現一種可以繞過同源原則的方法。- CVE-2018-6165 evil1m0 發現一個 URL 偽造問題。- CVE-2018-6166 Lynas Zhang 發現一個 URL 偽造問題。- CVE-2018-6167 Lynas Zhang 發現一個 URL 偽造問題。- CVE-2018-6168 Gunes Acar 和 Danny Y. Huang 發現一個方法可繞過跨源資源共享原則。- CVE-2018-6169 Sam P 發現一個方法,可在安裝延伸模組時繞過權限。- CVE-2018-6170 在 pdfium 程式庫中發現一個類型混淆問題。- CVE-2018-6171 在 WebBluetooth 實作中發現一個釋放後使用問題。- CVE-2018-6172 Khalil Zhani 發現一個 URL 偽造問題。- CVE-2018-6173 Khalil Zhani 發現一個 URL 偽造問題。- CVE-2018-6174 Mark Brand 在 swiftshader 程式庫發現一個整數溢位問題。- CVE-2018-6175 Khalil Zhani 發現一個 URL 偽造問題。- CVE-2018-6176 Jann Horn 發現一個使用延伸模組提升權限的方法。- CVE-2018-6177 Ron Masas 發現一個資訊洩漏問題。- CVE-2018-6178 Khalil Zhani 發現一個使用者介面偽造問題。- CVE-2018-6179 據發現,有關系統本機檔案的資訊可洩漏給延伸模組。此版本也修正了上一個安全性更新中引入的迴歸,該迴歸可防止解碼特定的音訊/視訊轉碼器。

解決方案

升級 chromium-browser 套件。針對穩定的發行版本 (stretch),這些問題已在 68.0.3440.75-1~deb9u1 版本中修正。

另請參閱

https://security-tracker.debian.org/tracker/CVE-2018-4117

https://security-tracker.debian.org/tracker/CVE-2018-6044

https://security-tracker.debian.org/tracker/CVE-2018-6150

https://security-tracker.debian.org/tracker/CVE-2018-6151

https://security-tracker.debian.org/tracker/CVE-2018-6152

https://security-tracker.debian.org/tracker/CVE-2018-6153

https://security-tracker.debian.org/tracker/CVE-2018-6154

https://security-tracker.debian.org/tracker/CVE-2018-6155

https://security-tracker.debian.org/tracker/CVE-2018-6156

https://security-tracker.debian.org/tracker/CVE-2018-6157

https://security-tracker.debian.org/tracker/CVE-2018-6158

https://security-tracker.debian.org/tracker/CVE-2018-6159

https://security-tracker.debian.org/tracker/CVE-2018-6161

https://security-tracker.debian.org/tracker/CVE-2018-6162

https://security-tracker.debian.org/tracker/CVE-2018-6163

https://security-tracker.debian.org/tracker/CVE-2018-6164

https://security-tracker.debian.org/tracker/CVE-2018-6165

https://security-tracker.debian.org/tracker/CVE-2018-6166

https://security-tracker.debian.org/tracker/CVE-2018-6167

https://security-tracker.debian.org/tracker/CVE-2018-6168

https://security-tracker.debian.org/tracker/CVE-2018-6169

https://security-tracker.debian.org/tracker/CVE-2018-6170

https://security-tracker.debian.org/tracker/CVE-2018-6171

https://security-tracker.debian.org/tracker/CVE-2018-6172

https://security-tracker.debian.org/tracker/CVE-2018-6173

https://security-tracker.debian.org/tracker/CVE-2018-6174

https://security-tracker.debian.org/tracker/CVE-2018-6175

https://security-tracker.debian.org/tracker/CVE-2018-6176

https://security-tracker.debian.org/tracker/CVE-2018-6177

https://security-tracker.debian.org/tracker/CVE-2018-6178

https://security-tracker.debian.org/tracker/CVE-2018-6179

http://www.nessus.org/u?e33901a2

https://packages.debian.org/source/stretch/chromium-browser

https://www.debian.org/security/2018/dsa-4256

Plugin 詳細資訊

嚴重性: Critical

ID: 111360

檔案名稱: debian_DSA-4256.nasl

版本: 1.8

類型: local

代理程式: unix

已發布: 2018/7/27

已更新: 2019/7/15

支援的感應器: Agentless Assessment, Frictionless Assessment Agent, Nessus Agent, Nessus

風險資訊

VPR

風險因素: Medium

分數: 6.5

CVSS v2

風險因素: Medium

基本分數: 6.8

媒介: CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P

CVSS v3

風險因素: Critical

基本分數: 9.6

媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H

弱點資訊

CPE: p-cpe:/a:debian:debian_linux:chromium-browser, cpe:/o:debian:debian_linux:9.0

必要的 KB 項目: Host/local_checks_enabled, Host/Debian/release, Host/Debian/dpkg-l

修補程式發佈日期: 2018/7/26

弱點發布日期: 2018/4/3

參考資訊

CVE: CVE-2018-4117, CVE-2018-6044, CVE-2018-6150, CVE-2018-6151, CVE-2018-6152, CVE-2018-6153, CVE-2018-6154, CVE-2018-6155, CVE-2018-6156, CVE-2018-6157, CVE-2018-6158, CVE-2018-6159, CVE-2018-6161, CVE-2018-6162, CVE-2018-6163, CVE-2018-6164, CVE-2018-6165, CVE-2018-6166, CVE-2018-6167, CVE-2018-6168, CVE-2018-6169, CVE-2018-6170, CVE-2018-6171, CVE-2018-6172, CVE-2018-6173, CVE-2018-6174, CVE-2018-6175, CVE-2018-6176, CVE-2018-6177, CVE-2018-6178, CVE-2018-6179

DSA: 4256