偵測

CentOS 7 : firefox (RHSA-2023:0296)

high Nessus Plugin ID 170851

語言:

概要

遠端 CentOS Linux 主機缺少一個或多個安全性更新。

說明

遠端 CentOS Linux 7 主機上安裝的套件受到 RHSA-2023:0296 公告中提及的多個弱點影響。

 - 過時的程式庫 (libusrsctp) 含有可能遭到惡意利用的弱點。此弱點會影響 Firefox < 108。(CVE-2022-46871)

 - 透過混淆瀏覽器,可延遲或隱藏全螢幕通知,進而可能導致使用者混淆或偽造攻擊。此弱點會影響 Firefox < 108。(CVE-2022-46877)

 - 由於 Firefox GTK 包裝函式程式碼針對拖曳資料使用文字/純文字,且 GTK 將所有含有檔案 URL 的文字/純文字 MIME 視為遭拖曳,因此網站可透過呼叫 <code>DataTransfer.setData</code> 來任意讀取檔案。此弱點會影響 Firefox < 109、Thunderbird < 102.7 和 Firefox ESR < 102.7。(CVE-2023-23598)

 - 將開發人員工具面板中的網路要求複製為 curl 命令時未正確清理輸出,且可允許在其中隱藏任意命令。此弱點會影響 Firefox < 109、Thunderbird < 102.7 和 Firefox ESR < 102.7。(CVE-2023-23599)

 - 將 URL 從跨來源 iframe 拖曳到同一個索引標籤時允許導覽,這可導致網站偽造攻擊。此弱點會影響 Firefox < 109、Thunderbird < 102.7 和 Firefox ESR < 102.7。(CVE-2023-23601)

 - 在 WebWorker 中建立 WebSocket 時未正確處理安全性檢查,導致內容安全性原則 connect-src 標頭遭到忽略。這可導致從 WebWorker 內部連線至受限制的來源。此弱點會影響 Firefox < 109、Thunderbird < 102.7 和 Firefox ESR < 102.7。
 (CVE-2023-23602)

 - 用於從 <code>console.log</code> 呼叫中的樣式指示詞篩選出禁止的內容和值的規則運算式並未考慮外部 URL,可能會因此從瀏覽器洩漏資料。此弱點會影響 Firefox < 109、Thunderbird < 102.7 和 Firefox ESR < 102.7。
 (CVE-2023-23603)

 - Firefox 108 和 Firefox ESR 102.6 中的記憶體安全錯誤。某些錯誤顯示記憶體會遭到損毀,我們推測若有心人士有意操控,可能惡意利用其中部分錯誤執行任意程式碼。此弱點會影響 Firefox < 109、Thunderbird < 102.7 和 Firefox ESR < 102.7。
 (CVE-2023-23605)

請注意,Nessus 並未測試這些問題,而是僅依據應用程式自我報告的版本號碼作出判斷。

解決方案

更新受影響的 firefox 套件。

另請參閱

https://access.redhat.com/errata/RHSA-2023:0296

Plugin 詳細資訊

嚴重性: High

ID: 170851

檔案名稱: centos_RHSA-2023-0296.nasl

版本: 1.4

類型: local

代理程式: unix

已發布: 2023/1/30

已更新: 2024/10/9

支援的感應器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Agentless Assessment, Continuous Assessment, Nessus

風險資訊

VPR

風險因素: Medium

分數: 6.7

Vendor

Vendor Severity: Important

CVSS v2

風險因素: Critical

基本分數: 10

時間性分數: 7.4

媒介: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

CVSS 評分資料來源: CVE-2023-23605

CVSS v3

風險因素: High

基本分數: 8.8

時間性分數: 7.7

媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

時間媒介: CVSS:3.0/E:U/RL:O/RC:C

弱點資訊

CPE: cpe:/o:centos:centos:7, p-cpe:/a:centos:centos:firefox

必要的 KB 項目: Host/local_checks_enabled, Host/cpu, Host/CentOS/release, Host/CentOS/rpm-list

可輕鬆利用: No known exploits are available

修補程式發佈日期: 2023/1/30

弱點發布日期: 2022/12/15

參考資訊

CVE: CVE-2022-46871, CVE-2022-46877, CVE-2023-23598, CVE-2023-23599, CVE-2023-23601, CVE-2023-23602, CVE-2023-23603, CVE-2023-23605

IAVA: 2022-A-0517-S, 2023-A-0048-S

RHSA: 2023:0296