Debian DSA-4638-1:chromium - 安全性更新
high Nessus Plugin ID 134433
語系:
概要
遠端 Debian 主機缺少安全性相關更新。說明
在 chromium 網頁瀏覽器中發現數個弱點。- CVE-2019-19880 Richard Lorenz 在 sqlite 程式庫中發現一個問題。
- CVE-2019-19923 Richard Lorenz 在 sqlite 程式庫中發現一個超出邊界讀取問題。
- CVE-2019-19925 Richard Lorenz 在 sqlite 程式庫中發現一個問題。
- CVE-2019-19926 Richard Lorenz 在 sqlite 程式庫中發現一個實作錯誤。
- CVE-2020-6381 英國國家網路安全中心在 v8 JavaScript 程式庫中發現一個整數溢位問題。
- CVE-2020-6382 Soyeon Park 和 Wen Xu 發現在 v8 JavaScript 程式庫中發現一個類型錯誤。
- CVE-2020-6383 Sergei Glazunov 在 v8 JavaScript 程式庫中發現一個類型錯誤。
- CVE-2020-6384 David Manoucheri 在 WebAudio 中發現一個釋放後使用問題。
- CVE-2020-6385 Sergei Glazunov 發現一個原則強制執行錯誤。
- CVE-2020-6386 Zhe Jin 在語音處理方式中發現一個釋放後使用問題。
- CVE-2020-6387 Natalie Silvanovich 在 WebRTC 實作中發現一個超出邊界寫入錯誤。
- CVE-2020-6388 Sergei Glazunov 在 WebRTC 實作中發現一個超出邊界讀取錯誤。
- CVE-2020-6389 Natalie Silvanovich 在 WebRTC 實作中發現一個超出邊界寫入錯誤。
- CVE-2020-6390 Sergei Glazunov 發現一個超出邊界讀取錯誤。
- CVE-2020-6391 Michal Bentkowski 發現未對未受信任的輸入進行充分驗證。
- CVE-2020-6392 Microsoft Edge 團隊發現一個原則強制執行錯誤。
- CVE-2020-6393 Mark Amery 發現一個原則強制執行錯誤。
- CVE-2020-6394 Phil Freo 發現一個原則強制執行錯誤。
- CVE-2020-6395 Pierre Langlois 在 v8 JavaScript 程式庫中發現一個超出邊界讀取問題。
- CVE-2020-6396 William Luc Ritchie 在 skia 程式庫中發現一個錯誤。
- CVE-2020-6397 Khalil Zhani 發現一個使用者介面錯誤。
- CVE-2020-6398 pdknsk 在 pdfium 程式庫中發現一個未初始化的變數。
- CVE-2020-6399 Luan Herrera 發現一個原則強制執行錯誤。
- CVE-2020-6400 Takashi Yoneuchi 在跨來源資源共用中發現一個錯誤。
- CVE-2020-6401 Tzanch Horesh 發現未對使用者輸入進行充分驗證。
- CVE-2020-6402 Vladimir Metnew 發現一個原則強制執行錯誤。
- CVE-2020-6403 Khalil Zhani 發現一個使用者介面錯誤。
- CVE-2020-6404 kanchi 在 Blink/Webkit 中發現一個錯誤。
- CVE-2020-6405 Yongheng Chen 和 Rui Zhong 在 sqlite 程式庫中發現一個超出邊界讀取問題。
- CVE-2020-6406 Sergei Glazunov 發現一個釋放後使用問題。
- CVE-2020-6407 Sergei Glazunov 發現一個超出邊界讀取錯誤。
- CVE-2020-6408 Zhong Zhaochen 在跨來源資源共用中發現一個原則強制執行錯誤。
- CVE-2020-6409 Divagar S 和 Bharathi V 在 omnibox 實作中發現一個錯誤。
- CVE-2020-6410 evil1m0 發現一個原則強制執行錯誤。
- CVE-2020-6411 Khalil Zhani 發現未對使用者輸入進行充分驗證。
- CVE-2020-6412 Zihan Zheng 發現未對使用者輸入進行充分驗證。
- CVE-2020-6413 Michal Bentkowski 在 Blink/Webkit 中發現一個錯誤。
- CVE-2020-6414 Lijo A.T 發現一個原則安全瀏覽原則強制執行錯誤。
- CVE-2020-6415 Avihay Cohen 在 v8 JavaScript 程式庫中發現一個實作錯誤。
- CVE-2020-6416 Woojin Oh 發現未對未受信任的輸入進行充分驗證。
- CVE-2020-6418 Clement Lecigne 在 v8 JavaScript 程式庫中發現一個類型錯誤。
- CVE-2020-6420 Taras Uzdenov 發現一個原則強制執行錯誤。
解決方案
升級 chromium 套件。針對舊的穩定發行版本 (stretch),已終止提供對 chromium 的安全性支援。
針對穩定的發行版本 (buster),已在 80.0.3987.132-1~deb10u1 版本中修正這些問題。
另請參閱
https://security-tracker.debian.org/tracker/CVE-2019-19880
https://security-tracker.debian.org/tracker/CVE-2019-19923
https://security-tracker.debian.org/tracker/CVE-2019-19925
https://security-tracker.debian.org/tracker/CVE-2019-19926
https://security-tracker.debian.org/tracker/CVE-2020-6381
https://security-tracker.debian.org/tracker/CVE-2020-6382
https://security-tracker.debian.org/tracker/CVE-2020-6383
https://security-tracker.debian.org/tracker/CVE-2020-6384
https://security-tracker.debian.org/tracker/CVE-2020-6385
https://security-tracker.debian.org/tracker/CVE-2020-6386
https://security-tracker.debian.org/tracker/CVE-2020-6387
https://security-tracker.debian.org/tracker/CVE-2020-6388
https://security-tracker.debian.org/tracker/CVE-2020-6389
https://security-tracker.debian.org/tracker/CVE-2020-6390
https://security-tracker.debian.org/tracker/CVE-2020-6391
https://security-tracker.debian.org/tracker/CVE-2020-6392
https://security-tracker.debian.org/tracker/CVE-2020-6393
https://security-tracker.debian.org/tracker/CVE-2020-6394
https://security-tracker.debian.org/tracker/CVE-2020-6395
https://security-tracker.debian.org/tracker/CVE-2020-6396
https://security-tracker.debian.org/tracker/CVE-2020-6397
https://security-tracker.debian.org/tracker/CVE-2020-6398
https://security-tracker.debian.org/tracker/CVE-2020-6399
https://security-tracker.debian.org/tracker/CVE-2020-6400
https://security-tracker.debian.org/tracker/CVE-2020-6401
https://security-tracker.debian.org/tracker/CVE-2020-6402
https://security-tracker.debian.org/tracker/CVE-2020-6403
https://security-tracker.debian.org/tracker/CVE-2020-6404
https://security-tracker.debian.org/tracker/CVE-2020-6405
https://security-tracker.debian.org/tracker/CVE-2020-6406
https://security-tracker.debian.org/tracker/CVE-2020-6407
https://security-tracker.debian.org/tracker/CVE-2020-6408
https://security-tracker.debian.org/tracker/CVE-2020-6409
https://security-tracker.debian.org/tracker/CVE-2020-6410
https://security-tracker.debian.org/tracker/CVE-2020-6411
https://security-tracker.debian.org/tracker/CVE-2020-6412
https://security-tracker.debian.org/tracker/CVE-2020-6413
https://security-tracker.debian.org/tracker/CVE-2020-6414
https://security-tracker.debian.org/tracker/CVE-2020-6415
https://security-tracker.debian.org/tracker/CVE-2020-6416
https://security-tracker.debian.org/tracker/CVE-2020-6418
https://security-tracker.debian.org/tracker/CVE-2020-6420
https://security-tracker.debian.org/tracker/source-package/chromium
Plugin 詳細資訊
嚴重性: High
ID: 134433
檔案名稱: debian_DSA-4638.nasl
版本: 1.9
類型: local
代理程式: unix
已發布: 2020/3/12
已更新: 2022/12/7
支援的感應器: Agentless Assessment, Frictionless Assessment Agent, Nessus Agent, Nessus
風險資訊
VPR
風險因素: Critical
分數: 9.5
CVSS v2
風險因素: Medium
基本分數: 6.8
時間分數: 5.9
媒介: CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P
CVSS 評分資料來源: CVE-2020-6420
CVSS v3
風險因素: High
基本分數: 8.8
時間分數: 8.4
媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
時間媒介: CVSS:3.0/E:H/RL:O/RC:C
弱點資訊
CPE: p-cpe:/a:debian:debian_linux:chromium, cpe:/o:debian:debian_linux:10.0
必要的 KB 項目: Host/local_checks_enabled, Host/Debian/release, Host/Debian/dpkg-l
可被惡意程式利用: true
可輕鬆利用: Exploits are available
修補程式發佈日期: 2020/3/10
弱點發布日期: 2019/12/18
CISA 已知遭惡意利用弱點到期日: 2022/5/3
可惡意利用
Metasploit (Google Chrome 80 JSCreate side-effect type confusion exploit)
參考資訊
CVE: CVE-2019-19880, CVE-2019-19923, CVE-2019-19925, CVE-2019-19926, CVE-2020-6381, CVE-2020-6382, CVE-2020-6383, CVE-2020-6384, CVE-2020-6385, CVE-2020-6386, CVE-2020-6387, CVE-2020-6388, CVE-2020-6389, CVE-2020-6390, CVE-2020-6391, CVE-2020-6392, CVE-2020-6393, CVE-2020-6394, CVE-2020-6395, CVE-2020-6396, CVE-2020-6397, CVE-2020-6398, CVE-2020-6399, CVE-2020-6400, CVE-2020-6401, CVE-2020-6402, CVE-2020-6403, CVE-2020-6404, CVE-2020-6405, CVE-2020-6406, CVE-2020-6407, CVE-2020-6408, CVE-2020-6409, CVE-2020-6410, CVE-2020-6411, CVE-2020-6412, CVE-2020-6413, CVE-2020-6414, CVE-2020-6415, CVE-2020-6416, CVE-2020-6418, CVE-2020-6420
DSA: 4638