MiracleLinux 4firefox-3.6.22-1.0.1.AXS4、xulrunner-1.9.2.22-1.0.1.AXS4 (AXSA:2011-444:04)
high Nessus Plugin ID 283988
語言:
概要
遠端 MiracleLinux 主機缺少一個或多個安全性更新。說明
遠端 MiracleLinux 4 主機已安裝受到多個弱點影響的套件如 AXSA:2011-444:04 公告中所提及。Mozilla Firefox 是開放原始碼網頁瀏覽器專為標準合規性、效能和可攜性而設計。
此版本修正的安全性問題
CVE-2011-0083 在 3.6.18之前的 Mozilla Firefox、 3.1.11[] 之前的 Thunderbird以及 之前的 SeaMonkey 至 2.0.14 中SVG 元素清單實作的 nsSVGPathSegList::ReplaceItem 函式有釋放後使用弱點允許遠端攻擊者造成拒絕服務 (應用程式當機) 或可能透過涉及使用者提供之回呼的向量執行任意程式碼。
CVE-2011-0085 在 3.6.18之前的 Mozilla Firefox、 3.1.11之前的 Thunderbird以及 2.0.14 之前的 SeaMonkey 中nsXULCommandDispatcher 函式有釋放後使用弱點允許遠端攻擊者透過可將目前命令更新程式出列佇列的特製 XUL 文件執行任意程式碼。
CVE-2011-23623.6.18之前的 Mozilla Firefox、 3.1.11之前的 Thunderbird 以及 2.0.14 之前的 SeaMonkey 兩個網域名稱的 Cookie (僅結尾一個點有所不同) 未區分其允許遠端 Web 伺服器透過 Set-Cookie 繞過同源原則標頭。
CVE-2011-2363 在 3.6.18之前的 Mozilla Firefox、 3.1.11[] 之前的 Thunderbird以及 之前的 SeaMonkey 至 2.0.14 中SVG 元素清單實作的 nsSVGPointList::AppendElement 函式有釋放後使用弱點允許遠端攻擊者造成拒絕服務 (應用程式當機) 或可能透過涉及使用者提供之回呼的向量執行任意程式碼。
CVE-2011-2364 在 [] 之前的 Mozilla Firefox 3.6.x 之前的 3.6.18 和 之前的 Thunderbird 3.1.11 中瀏覽器引擎內有不明弱點允許遠端攻擊者造成拒絕服務 (記憶體損毀和應用程式損毀)或可能透過未知向量執行任意程式碼此弱點不同於 CVE-2011-2365。
CVE-2011-2365 在 [] 之前的 Mozilla Firefox 3.6.x 之前的 3.6.18 和 之前的 Thunderbird 3.1.11 中瀏覽器引擎內有不明弱點允許遠端攻擊者造成拒絕服務 (記憶體損毀和應用程式損毀)或可能透過未知向量執行任意程式碼此弱點不同於 CVE-2011-2364。
CVE-2011-2371 在 [] 之前的 Mozilla Firefox 和 4.x3.6.18 至 4.0.1、 3.1.11之前的 Thunderbird以及 SeaMonkey 至 2.0.14 中Array.reduceRight 方法中的整數溢位允許遠端攻擊者透過涉及長 JavaScript Array 物件的向量執行任意程式碼。
CVE-2011-2373 JavaScript 停用時 3.6.18 和 4.x 之前的 Mozilla Firefox、 4.0.13.1.11之前的 Thunderbird以及 2.0.14之前的 SeaMonkey 中的釋放後使用弱點允許遠端攻擊者透過特製的 XUL 文件執行任意程式碼。
CVE-2011-2374 在 3.6.18 和 4.x 到 4.0.1之前的 Mozilla Firefox 以及 3.1.11之前的 Thunderbird 中瀏覽器引擎有多個不明弱點允許遠端攻擊者造成拒絕服務 (記憶體損毀及應用程式損毀) 或可能透過透過未知向量。
CVE-2011-2375 在 5.0 之前的 Mozilla Firefox 和 3.1.11 之前的 Thunderbird 中瀏覽器引擎有多個不明弱點允許遠端攻擊者透過未知向量造成拒絕服務 (記憶體損毀和應用程式損毀)或可能執行任意程式碼。
CVE-2011-2376 在 3.6.18 之前的 Mozilla Firefox 和 3.1.11 ] 之前的 Thunderbird 中瀏覽器引擎有多個不明弱點允許遠端攻擊者透過未知向量來引發拒絕服務 (記憶體損毀和應用程式損毀)或可能執行任意程式碼。
CVE-2011-2377 在 3.6.18 之前的 Mozilla Firefox 和 4.x 至 4.0.13.1.11] 之前的 Thunderbird以及 之前的 SeaMonkey 至 2.0.14 允許遠端攻擊者透過 multipart/x 造成拒絕服務 (記憶體損毀及應用程式損毀) 或可能執行任意程式碼-mixed-replace 影像。
CVE-2011-2605 在 3.6.18 和 4.x ] 到 4.0.1之前的 Mozilla Firefox 以及 3.1.11之前的 Thunderbird 中netwerk/cookie/nsCookieService.cpp 的 nsCookieService::SetCookieStringInternal 函式存在 CRLF 插入弱點其允許遠端攻擊者透過字串繞過預定的存取限制含有 (新行) 字元其未在 JavaScript document.cookie = 運算式中正確處理這是與 CVE-2011-2374不同的弱點。
Tenable 已直接從 MiracleLinux 安全性公告擷取前置描述區塊。
請注意,Nessus 並未測試這些問題,而是僅依據應用程式自我報告的版本號碼作出判斷。
解決方案
更新受影響的 firefox 和/或 xulrunner 套件。另請參閱
Plugin 詳細資訊
嚴重性: High
ID: 283988
檔案名稱: miracle_linux_AXSA-2011-444.nasl
版本: 1.1
類型: local
已發布: 2026/1/14
已更新: 2026/1/14
支援的感應器: Nessus Agent, Nessus
風險資訊
VPR
風險因素: Critical
分數: 9.4
Vendor
Vendor Severity: High
CVSS v2
風險因素: Critical
基本分數: 10
時間性分數: 8.7
媒介: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C
CVSS 評分資料來源: CVE-2011-2376
CVSS v3
風險因素: High
基本分數: 8.8
時間性分數: 8.4
媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
時間媒介: CVSS:3.0/E:H/RL:O/RC:C
弱點資訊
CPE: p-cpe:/a:miracle:linux:firefox, p-cpe:/a:miracle:linux:xulrunner, cpe:/o:miracle:linux:4
必要的 KB 項目: Host/local_checks_enabled, Host/MiracleLinux/release, Host/MiracleLinux/rpm-list, Host/cpu
可被惡意程式利用: true
可輕鬆利用: Exploits are available
修補程式發佈日期: 2011/12/28
弱點發布日期: 2011/5/23
可惡意利用
CANVAS (CANVAS)
參考資訊
CVE: CVE-2011-0083, CVE-2011-0085, CVE-2011-2362, CVE-2011-2363, CVE-2011-2364, CVE-2011-2365, CVE-2011-2371, CVE-2011-2373, CVE-2011-2374, CVE-2011-2375, CVE-2011-2376, CVE-2011-2377, CVE-2011-2605