MiracleLinux 4firefox-10.0.5-1.0.1.AXS4、xulrunner-10.0.5-1.0.1.AXS4 (AXSA:2012-857:04)
medium Nessus Plugin ID 284070
語言:
概要
遠端 MiracleLinux 主機缺少一個或多個安全性更新。說明
遠端 MiracleLinux 4 主機已安裝受到多個弱點影響的套件如 AXSA:2012-857:04 公告中所提及。Mozilla Firefox 是開放原始碼網頁瀏覽器專為標準合規性、效能和可攜性而設計。
此版本修正的安全性問題
CVE-2011-3101 Linux 上 19.0.1084.46 之前的 Google Chrome 未正確減輕 NVIDIA 驅動程式中的不明瑕疵其具有未知的影響和攻擊向量。注意請參閱 CVE-2012-3105 了解 Mozilla 產品中的相關 MFSA 2012-34 問題。
CVE-2012-1937 在 Mozilla Firefox 4.x 至 12.0、Firefox ESR 10.x 之前 10.0.5、Thunderbird 5.0 至 12.0、Thunderbird ESR 10.x 之前 10.0.5以及 SeaMonkey 之前 2.10 中瀏覽器引擎有多個不明弱點允許遠端攻擊者會透過未知向量造成拒絕服務 (記憶體損毀和應用程式損毀)或可能執行任意程式碼。
CVE-2012-1938 在 13.0之前的 Mozilla Firefox、 13.0之前的 Thunderbird以及 2.10 之前的 SeaMonkey 中瀏覽器引擎有多個不明弱點允許遠端攻擊者透過相關向量造成拒絕服務 (記憶體損毀及應用程式損毀) 或可能執行任意程式碼。 (1) methodjit/ImmutableSync.cpp、(2) js/src/jsarray.cpp 中的 JSObject::makeDenseArraySlow 函式以及其他未知的元件。
CVE-2012-1939 在 Mozilla Firefox ESR 10.x 之前的 10.0.5 和 10.0.5 之前的 Thunderbird ESR 10.x 中[] jsinfer.cpp 並未正確判斷資料類型而允許遠端攻擊者造成拒絕服務 (記憶體損毀和應用程式損毀) 或可能執行任意透過特製的 JavaScript 程式碼。
CVE-2012-1940 Mozilla Firefox 4.x 至 12.0、Firefox ESR 10.x 之前的 10.0.5、Thunderbird 5.0 至 12.0、Thunderbird ESR 10.x 之前的 10.0.5以及 SeaMonkey 之前的版本中的 nsFrameList::FirstChild 函式存在釋放後使用弱點 2.10 允許遠端攻擊者變更欄內絕對位置元素的容器大小藉此執行任意程式碼或造成拒絕服務 (堆積記憶體損毀與應用程式損毀)。
CVE-2012-1941 在 Mozilla Firefox 4.x 至 12.0、[] 之前的 Firefox ESR 10.x10.0.5、 Thunderbird 5.0 至 12.0、[ 10.0.5之前的 Thunderbird ESR 10.x 以及 之前的 SeaMonkey 2.10 允許遠端攻擊者調整巢狀欄中顯示絕對位置和相對位置元素的視窗大小藉此執行任意程式碼。
CVE-2012-1944 Mozilla Firefox 4.x 至 12.0之前的 Firefox ESR [] 10.0.5之前的 Firefox ESR 10.x5.0 至 12.0、Thunderbird ESR 10.x 之前的 10.0.5以及 SeaMonkey 之前的 2.10 中的內容安全性原則 (CSP) 實作未封鎖內嵌事件處置程式其可讓遠端攻擊者更容易透過特製 HTML 文件發動跨網站指令碼 (XSS) 攻擊。
CVE-2012-1945 Mozilla Firefox 4.x 至 12.0、Firefox ESR 10.x 之前的 10.0.5、Thunderbird 5.0 至 12.0、Thunderbird ESR 10.x 之前的 10.0.5以及 SeaMonkey 之前的 2.10 允許本機使用者透過 HTML 文件取得敏感資訊載入捷徑 (即 .lnk) 檔案以在 IFRAME 元素中顯示以 (1) Microsoft Windows 或 (2) Samba 實作的網路共用即為一例。
CVE-2012-1946 Mozilla Firefox 4.x 至 12.0、Firefox ESR 10.x 之前的 10.0.5、Thunderbird 5.0 至 12.0、Thunderbird ESR 10.x 之前的 10.0.5以及 SeaMonkey 之前的版本中的 nsINode::ReplaceOrInsertBefore 函式存在釋放後使用弱點 2.10 可能允許遠端攻擊者透過與節點取代或插入有關的文件變更來執行任意程式碼。
CVE-2012-1947 在 Mozilla Firefox 4.x 至 12.0、[] 之前的 Firefox ESR 10.x10.0.5、Thunderbird 5.0 至 12.0、 [ 10.0.5之前的 Thunderbird ESR 10.x 以及 2.10 之前的 SeaMonkey 允許遠端攻擊者可透過會觸發字元集轉換失敗的向量來執行任意程式碼。
Tenable 已直接從 MiracleLinux 安全性公告擷取前置描述區塊。
請注意,Nessus 並未測試這些問題,而是僅依據應用程式自我報告的版本號碼作出判斷。
解決方案
更新受影響的 firefox 和/或 xulrunner 套件。另請參閱
Plugin 詳細資訊
嚴重性: Medium
ID: 284070
檔案名稱: miracle_linux_AXSA-2012-857.nasl
版本: 1.1
類型: local
已發布: 2026/1/14
已更新: 2026/1/14
支援的感應器: Nessus Agent, Nessus
風險資訊
VPR
風險因素: Medium
分數: 6.7
Vendor
Vendor Severity: High
CVSS v2
風險因素: Critical
基本分數: 10
時間性分數: 7.8
媒介: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C
CVSS 評分資料來源: CVE-2011-3101
CVSS v3
風險因素: Medium
基本分數: 6.1
時間性分數: 5.5
媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
時間媒介: CVSS:3.0/E:P/RL:O/RC:C
CVSS 評分資料來源: CVE-2012-1944
弱點資訊
CPE: cpe:/o:miracle:linux:4, p-cpe:/a:miracle:linux:xulrunner, p-cpe:/a:miracle:linux:firefox
必要的 KB 項目: Host/local_checks_enabled, Host/MiracleLinux/release, Host/MiracleLinux/rpm-list, Host/cpu
可被惡意程式利用: true
可輕鬆利用: Exploits are available
修補程式發佈日期: 2012/9/11
弱點發布日期: 2012/5/15
參考資訊
CVE: CVE-2011-3101, CVE-2012-1937, CVE-2012-1938, CVE-2012-1939, CVE-2012-1940, CVE-2012-1941, CVE-2012-1944, CVE-2012-1945, CVE-2012-1946, CVE-2012-1947