Slackware Linux 15.0 / 最新版 mozilla-thunderbird 多個弱點 (SSA:2022-273-01)

high Nessus Plugin ID 165598

Synopsis

遠端 Slackware Linux 主機缺少 mozilla-thunderbird 的安全性更新。

描述

遠端主機上安裝的 mozilla-thunderbird 版本比 102.3.1 舊。因此,它受到 SSA:2022-273-01 公告中提及的多個弱點影響。

- Matrix Javascript SDK 是適用於 JavaScript 的 Matrix Client-Server SDK。從 17.1.0-rc.1 版開始,格式錯誤的信標事件可中斷或阻止 matrix-js-sdk 正常運作,進而可能影響使用者安全處理資料的能力。請注意,matrix-js-sdk 可能看似正常運作,但實際排除或損毀呈現給使用者的執行階段資料。
現已在 matrix-js-sdk v19.7.0 中修補此問題。編輯適用的事件、等待同步處理器儲存資料,以及重新啟動用戶端,都是可能的因應措施。或者,編輯適用的事件並清除所有儲存空間可修正進一步發現的問題。另外,退回至不受影響的版本 (注意此類版本可能受到其他弱點影響) 也可解決此問題。(CVE-2022-39236)

- Matrix Javascript SDK 是適用於 JavaScript 的 Matrix Client-Server SDK。在 19.7.0 之前版本中,與惡意主伺服器配合的攻擊者可以建構看似來自其他人的訊息。
此類訊息在某些平台上會以灰色保護盾標記,但在有些平台上可能會遺漏此標記。此攻擊可能是 matrix-js-sdk 在接收端實作過於寬鬆的金鑰轉送策略所致。從 19.7.0 版開始,matrix-js-sdk 中接受金鑰轉送的預設原則已變得更爲嚴格。現在,matrix-js-sdk 只接受爲回應先前發出的要求而轉送的金鑰,且只接受由經過驗證的自有裝置轉送的金鑰。SDK 現在會根據用來解密訊息的金鑰是否來自受信任的來源,在解密時對解密的訊息設定「trusted」旗標。用戶端需要確保以包含「trusted = false」的金鑰解密的訊息經過適當修飾,例如,針對此類訊息顯示警告。此攻擊需要惡意主伺服器和攻擊者之間協調,而信任您的主伺服器的使用者不需要因應措施。(CVE-2022-39249)

- Matrix Javascript SDK 是適用於 JavaScript 的 Matrix Client-Server 軟體開發套件 (SDK)。在 19.7.0 之前版本中,與惡意主伺服器合作的攻擊者可干擾兩個使用者之間的驗證流程,插入其自己的交叉簽署使用者身分,以取代其中一個使用者的身分。這會導致其他裝置信任/驗證在主伺服器控制下的使用者身分,而不是預定的身分。該弱點是 matrix-js-sdk 中的一個錯誤,其原因在於程式在兩個獨立的步驟中檢查和簽署使用者身分和裝置,並且未充分修正要在這些步驟之間簽署的金鑰。設計決策中將交叉簽署使用者身分視為伺服器端的 Matrix 裝置 (其裝置 ID 設為使用者身分金鑰的公開部分),這爲攻擊提供了可能性,儘管如此,目前檢查過的實作中尚無其他容易受到攻擊的實作。
從 19.7.0 版開始,matrix-js-sdk 已修改為仔細檢查所簽署的金鑰是否經過驗證,而非僅按照 ID 參照金鑰。當其中一個裝置 ID 符合交叉簽署金鑰時,會執行額外檢查以報告錯誤。此攻擊需要惡意主伺服器和攻擊者之間協調,使用者若信任其主伺服器,則不需要特殊的因應措施。(CVE-2022-39250)

- Matrix Javascript SDK 是適用於 JavaScript 的 Matrix Client-Server SDK。在 19.7.0 之前版本中,與惡意主伺服器配合的攻擊者可以建構看似來自其他人的合法訊息,而沒有以灰色保護盾等指明。此外,有經驗的攻擊者若與惡意主伺服器合作,則可利用此弱點發動有針對性的攻擊,以傳送看似來自其他使用者的虛假 to-device 訊息。這可允許攻擊者在自我驗證期間插入金鑰備份密碼,使目標裝置開始使用由主伺服器偽造的惡意金鑰備份。這些攻擊之所以可能發生,是因為存在通訊協定混淆弱點,程式會接受使用 Megolm 而非 Olm 加密的 to-device 訊息。從 19.7.0 版開始,matrix-js-sdk 已修改為僅接受使用 Olm 加密的 to-device 訊息。出於謹慎考慮,目前已稽核或新增數個其他檢查。此攻擊需要惡意主伺服器和攻擊者之間協調,使用者若信任自己的主伺服器,則不需要因應措施。
(CVE-2022-39251)

請注意,Nessus 並未測試這些問題,而是僅依據應用程式自我報告的版本號碼作出判斷。

解決方案

升級受影響的 mozilla-thunderbird 套件。

Plugin 詳細資訊

嚴重性: High

ID: 165598

檔案名稱: Slackware_SSA_2022-273-01.nasl

版本: 1.6

類型: local

已發布: 2022/9/30

已更新: 2022/12/2

風險資訊

VPR

風險因素: Medium

分數: 4.4

CVSS v2

風險因素: High

基本分數: 7.8

時間分數: 5.8

媒介: CVSS2#AV:N/AC:L/Au:N/C:N/I:C/A:N

時間媒介: CVSS2#E:U/RL:OF/RC:C

CVSS 評分資料來源: CVE-2022-39251

CVSS v3

風險因素: High

基本分數: 7.5

時間分數: 6.5

媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N

時間媒介: CVSS:3.0/E:U/RL:O/RC:C

弱點資訊

CPE: cpe:2.3:o:slackware:slackware_linux:*:*:*:*:*:*:*:*, p-cpe:2.3:a:slackware:slackware_linux:mozilla-thunderbird:*:*:*:*:*:*:*, cpe:2.3:o:slackware:slackware_linux:15.0:*:*:*:*:*:*:*

必要的 KB 項目: Host/local_checks_enabled, Host/Slackware/release, Host/Slackware/packages

可輕鬆利用: No known exploits are available

弱點發布日期: 2022/9/28

參考資訊

CVE: CVE-2022-39236, CVE-2022-39249, CVE-2022-39250, CVE-2022-39251

IAVA: 2022-A-0393-S