Amazon Linux 2:thunderbird (ALAS-2020-1462)
high Nessus Plugin ID 138628
語系:
新推出!Plugin 嚴重性目前使用 CVSS v3
計算 Plugin 嚴重性已更新為預設使用 CVSS v3 沒有 CVSS v3 評分的 Plugin 會回歸到以 CVSS v2 計算嚴重性。您可在設定下拉式選單中切換顯示嚴重性的喜好設定
Synopsis
The remote Amazon Linux 2 host is missing a security update.描述
Mozilla 開發人員報告,Firefox 76 和 Firefox ESR 68.8 中存在記憶體安全性錯誤。某些錯誤顯示記憶體會遭到損毀,我們推測若有心人士有意操控,可能惡意利用其中部分錯誤執行任意程式碼。此弱點會影響 Thunderbird < 68.9.0、Firefox < 77 和 Firefox ESR < 68.9。(CVE-2020-12410)
Mozilla 開發人員 Iain Ireland 發現,在移除未設限的物件時會遺漏類型檢查,進而導致損毀。我們推測若有心人士有意操控,就能利用此弱點執行任意程式碼。此弱點會影響 Thunderbird < 68.9.0、Firefox < 77 和 Firefox ESR < 68.9。(CVE-2020-12406)
如果 Thunderbird 設定為針對 IMAP 伺服器使用 STARTTLS,且伺服器傳送 PREAUTH 回應,則 Thunderbird 會使用未加密的連線繼續傳送,進而造成在沒有保護的情形下傳送電子郵件資料。此弱點會影響 Thunderbird < 68.9.0。
(CVE-2020-12398)
瀏覽惡意頁面時,SharedWorkerService 中會發生爭用情形,並導致可能被惡意利用的應用程式損毀。此弱點會影響 Thunderbird < 68.9.0、Firefox < 77 和 Firefox ESR < 68.9。(CVE-2020-12405)
解決方案
Run 'yum update thunderbird' to update your system.另請參閱
Plugin 詳細資訊
嚴重性: High
ID: 138628
檔案名稱: al2_ALAS-2020-1462.nasl
版本: 1.2
類型: local
代理程式: unix
已發布: 2020/7/20
已更新: 2020/7/22
相依性: ssh_get_info.nasl
風險資訊
VPR
風險因素: Medium
分數: 6.7
CVSS v2
風險因素: High
基本分數: 9.3
時間分數: 6.9
媒介: AV:N/AC:M/Au:N/C:C/I:C/A:C
時間媒介: E:U/RL:OF/RC:C
CVSS v3
風險因素: High
基本分數: 8.8
時間分數: 7.7
媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
時間媒介: E:U/RL:O/RC:C
弱點資訊
CPE: p-cpe:/a:amazon:linux:thunderbird, p-cpe:/a:amazon:linux:thunderbird-debuginfo, cpe:/o:amazon:linux:2
必要的 KB 項目: Host/local_checks_enabled, Host/AmazonLinux/release, Host/AmazonLinux/rpm-list
可輕鬆利用: No known exploits are available
修補程式發佈日期: 2020/7/17
弱點發布日期: 2020/7/9
參考資訊
CVE: CVE-2020-12398, CVE-2020-12405, CVE-2020-12406, CVE-2020-12410
ALAS: 2020-1462