偵測

Amazon Linux 2:firefox (ALASFIREFOX-2024-026)

critical Nessus Plugin ID 202228

語系:

概要

遠端 Amazon Linux 2 主機缺少安全性更新。

說明

遠端主機上安裝的 Firefox 版本比 115.12.0-1 舊。因此,會受到 ALAS2FIREFOX-2024-026 公告中所提及的多個弱點影響。

 RESERVEDNOTE:https://www.mozilla.org/en-US/security/advisories/mfsa2022-30/#CVE-2022-2205 (CVE-2022-2205)

 攻擊者可將 CSS 注入可透過內部 URI (例如 resource:) 存取的樣式表中,藉此繞過頁面的內容安全性原則。此弱點會影響 Firefox ESR < 91.11、Thunderbird < 102、Thunderbird < 91.11 和 Firefox < 101。(CVE-2022-31744)

 在 Mozilla 中發現一個缺陷。- Mozilla Foundation 安全公告將此問題描述為:從本機檔案系統開啟 Windows 捷徑時,攻擊者可提供會導致作業系統發出意外網路要求的遠端路徑。(CVE-2022-36314)

 造訪 URL 過長的網站時,使用者介面會懸置。由於工作階段還原,這可導致程式永久拒絕服務。<br>* 此問題僅會影響適用於 Android 的 Firefox。
 其他作業系統不受影響。* 此弱點會影響 Firefox < 103。(CVE-2022-36317)

 RESERVEDNOTE:https://www.mozilla.org/en-US/security/advisories/mfsa2022-30/#CVE-2022-36320 (CVE-2022-36320)

 如果在正確的時間觸發記憶體回收,則可在物件移植期間發生釋放後使用。此弱點會影響 Firefox < 127 和 Firefox ESR < 115.12。(CVE-2024-5688)

 透過「X-Frame-Options」標頭誘騙瀏覽器,沙箱化 iframe 可呈現一個按鈕,若使用者點選此按鈕,便可繞過開啟新視窗的限制。此弱點會影響 Firefox < 127 和 Firefox ESR < 115.12。(CVE-2024-5691)

 Offscreen Canvas 未正確追蹤跨來源污染,攻擊者可利用此弱點在違反同源原則的情況下,從其他網站存取影像資料。此弱點會影響 Firefox < 127、Firefox ESR < 115.12 及 Thunderbird < 115.12。(CVE-2024-5693)

 Firefox 126、Firefox ESR 115.11 和 Thunderbird 115.11 中存在記憶體安全錯誤。某些錯誤顯示記憶體會遭到損毀,我們推測若有心人士有意操控,可能惡意利用其中部分錯誤執行任意程式碼。此弱點會影響 Firefox < 127 和 Firefox ESR < 115.12。
 (CVE-2024-5700)

 網路堆疊中的記憶體損毀已導致可能遭利用的當機問題。此弱點會影響 Firefox < 125 和 Firefox ESR < 115.12。(CVE-2024-5702)

Tenable 已直接從所測試產品的安全公告擷取前置描述區塊。

請注意,Nessus 並未測試這些問題,而是僅依據應用程式自我報告的版本號碼作出判斷。

解決方案

執行「yum update firefox」以更新系統。

另請參閱

https://alas.aws.amazon.com/AL2/ALASFIREFOX-2024-026.html

https://alas.aws.amazon.com/cve/html/CVE-2022-2205.html

https://alas.aws.amazon.com/cve/html/CVE-2022-31744.html

https://alas.aws.amazon.com/cve/html/CVE-2022-36314.html

https://alas.aws.amazon.com/cve/html/CVE-2022-36317.html

https://alas.aws.amazon.com/cve/html/CVE-2022-36320.html

https://alas.aws.amazon.com/cve/html/CVE-2024-5688.html

https://alas.aws.amazon.com/cve/html/CVE-2024-5691.html

https://alas.aws.amazon.com/cve/html/CVE-2024-5693.html

https://alas.aws.amazon.com/cve/html/CVE-2024-5700.html

https://alas.aws.amazon.com/cve/html/CVE-2024-5702.html

https://alas.aws.amazon.com/faqs.html

Plugin 詳細資訊

嚴重性: Critical

ID: 202228

檔案名稱: al2_ALASFIREFOX-2024-026.nasl

版本: 1.1

類型: local

代理程式: unix

已發布: 2024/7/11

已更新: 2024/7/11

支援的感應器: Agentless Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Nessus Agent, Nessus

風險資訊

VPR

風險因素: High

分數: 7.4

CVSS v2

風險因素: Critical

基本分數: 10

時間分數: 7.4

媒介: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

CVSS 評分資料來源: CVE-2022-36320

CVSS v3

風險因素: Critical

基本分數: 9.8

時間分數: 8.5

媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

時間媒介: CVSS:3.0/E:U/RL:O/RC:C

弱點資訊

CPE: p-cpe:/a:amazon:linux:firefox, cpe:/o:amazon:linux:2, p-cpe:/a:amazon:linux:firefox-debuginfo

必要的 KB 項目: Host/local_checks_enabled, Host/AmazonLinux/release, Host/AmazonLinux/rpm-list

可輕鬆利用: No known exploits are available

修補程式發佈日期: 2024/7/3

弱點發布日期: 2022/6/2

參考資訊

CVE: CVE-2022-2205, CVE-2022-31744, CVE-2022-36314, CVE-2022-36317, CVE-2022-36320, CVE-2024-5688, CVE-2024-5691, CVE-2024-5693, CVE-2024-5700, CVE-2024-5702

IAVA: 2022-A-0226-S, 2022-A-0256-S, 2022-A-0298-S, 2024-A-0335-S