偵測

MiracleLinux 4firefox-10.0.11-1.0.1.AXS4、xulrunner-10.0.11-1.0.1.AXS4 (AXSA:2012-1051:07)

high Nessus Plugin ID 284192

語言:

概要

遠端 MiracleLinux 主機缺少一個或多個安全性更新。

說明

遠端 MiracleLinux 4 主機已安裝受到多個弱點影響的套件如 AXSA:2012-1051:07 公告中所提及。

 Mozilla Firefox 是開放原始碼網頁瀏覽器專為標準合規性、效能和可攜性而設計。
 此版本修正的安全性問題
 CVE-2012-4201 在 17.0之前的 Mozilla Firefox、[] 之前的 Firefox ESR 10.x10.0.11、 17.0之前的 Thunderbird、 [ 10.0.11之前的 Thunderbird ESR 10.x 以及 2.14 之前的 SeaMonkey 中evalInSandbox 實作在處理 JavaScript 程式碼期間使用不正確的內容設定location.href 內容其允許遠端攻擊者透過利用沙箱化的附加元件發動跨網站指令碼 (XSS) 攻擊或讀取任意檔案。
 CVE-2012-4202 在 17.0之前的 Mozilla Firefox、 [] 之前的 Firefox ESR 10.x ]、 10.0.11之前的 Thunderbird、 17.0] 之前的 Thunderbird ESR 10.x 以及 10.0.112.14 之前的 SeaMonkey 中 image::RasterImage::DrawFrameTo 函式中存在堆積型緩衝區溢位允許遠端攻擊者透過特製的 GIF 影像執行任意程式碼。
 CVE-2012-4207 在 17.0之前的 Mozilla Firefox、[] 之前的 Firefox ESR 10.x 、 10.0.1117.0] 之前的 Thunderbird、 之前的 Thunderbird ESR 10.x10.0.11以及 2.14 之前的 SeaMonkey 中HZ-GB-2312 字元集實作未正確處理~ 字元中靠近區塊分隔符號的位置其允許遠端攻擊者透過特製文件發動跨網站指令碼 (XSS) 攻擊。
 CVE-2012-4209 在 17.0之前的 Mozilla Firefox、[] 之前的 Firefox ESR 10.x10.0.11、 17.0之前的 Thunderbird、 10.0.1110.x ] 之前的 Thunderbird ESR 以及 2.14 之前的 SeaMonkey 都無法防止使用頂層框架名稱屬性值來存取位置屬性這使得遠端攻擊者更容易透過涉及二進位外掛程式的向量發動跨網站指令碼 (XSS) 攻擊。
 CVE-2012-4210 在 17.0 之前的 Mozilla Firefox 和 [] 之前的 Firefox ESR 10.x10.0.11 中樣式檢查器未正確限制 HTML 標記和階層式樣式表 (CSS) token 序列的內容進而允許使用者協助的遠端攻擊者執行任意 JavaScript 程式碼透過特製的樣式表使用 chrome 權限發動攻擊。
 CVE-2012-4214 在 17.0之前的 Mozilla Firefox、 10.0.11之前的 Firefox ESR 10.x ] 之前的 Thunderbird、 17.0之前的 Thunderbird ESR 10.x 以及 10.0.112.14 之前的 SeaMonkey 中的 nsTextEditorState::PrepareEditor 函式有一個釋放後使用弱點允許遠端攻擊者可透過不明向量執行任意程式碼或造成拒絕服務 (堆積記憶體損毀)此弱點與 CVE-2012-5840不同。
 CVE-2012-4215 在 17.0之前的 Mozilla Firefox、 [] 之前的 Firefox ESR 10.x10.0.11之前的 Thunderbird、 17.0之前的 Thunderbird ESR 10.x 以及 10.0.112.14 之前的 SeaMonkey 中的 nsPlaintextEditor::FireClipboardEvent 函式有一個釋放後使用弱點允許遠端攻擊者可透過不明向量執行任意程式碼或造成拒絕服務 (堆積記憶體損毀)。
 CVE-2012-4216 在 17.0之前的 Mozilla Firefox、 [] 之前的 Firefox ESR 10.x 、 10.0.1117.0之前的 Thunderbird、 [ ] 之前的 Thunderbird ESR 10.x 以及 10.0.112.14 之前的 SeaMonkey 中的 gfxFont::GetFontEntry 函式有一個釋放後使用弱點允許遠端攻擊者可透過不明向量執行任意程式碼或造成拒絕服務 (堆積記憶體損毀)。
 CVE-2012-5829 在 17.0之前的 Mozilla Firefox、 10.0.11之前的 Firefox ESR 10.x ] 之前的 Thunderbird、 17.0之前的 Thunderbird ESR 10.x 以及 10.0.112.14 之前的 SeaMonkey 中nsWindow::OnExposeEvent 函式的堆積型緩衝區溢位允許遠端攻擊者透過不明向量執行任意程式碼。
 CVE-2012-5830 在 Mac OS X 上 17.0之前的 Mozilla Firefox、[] 之前的 Firefox ESR 10.x 、 10.0.1117.0之前的 Thunderbird、 10.0.11之前的 Thunderbird ESR 10.x 以及 2.14 之前的 SeaMonkey 中有一個允許遠端攻擊者執行透過 HTML 文件發動任意程式碼攻擊。
 CVE-2012-5833 在 17.0之前的 Mozilla Firefox、 10.0.11之前的 Firefox ESR 10.x 、 17.0[] 之前的 Thunderbird、 之前的 Thunderbird ESR 10.x10.0.11以及SeaMonkey 之前的 2.14 中WebGL 子系統的 texImage2D 未與 Mesa 驅動程式正確互動。其允許遠端攻擊者透過涉及 level 參數特定值的函式呼叫執行任意程式碼或造成拒絕服務 (記憶體損毀和應用程式損毀)。
 CVE-2012-5835 在 17.0之前的 Mozilla Firefox、 [ 10.0.11之前的 Firefox ESR 10.x 、 17.0之前的 Thunderbird、 10.0.11] 之前的 Thunderbird ESR 10.x 以及 SeaMonkey 之前的 2.14 中WebGL 子系統存在整數溢位允許遠端攻擊者執行任意程式碼或造成透過特製資料引發的拒絕服務 (無效寫入作業)。
 CVE-2012-5839 在 17.0之前的 Mozilla Firefox、 [] 之前的 Firefox ESR 10.x10.0.11之前的 Thunderbird、 17.0之前的 Thunderbird ESR 10.x 以及 10.0.112.14 之前的 SeaMonkey 中gfxShapedWord::CompressedGlyph::IsClusterStart 函式有堆積型緩衝區溢位允許遠端攻擊者透過不明向量執行任意程式碼。
 CVE-2012-5840 在 17.0之前的 Mozilla Firefox、 10.0.11之前的 Firefox ESR 10.x ] 之前的 Thunderbird、 17.0之前的 Thunderbird ESR 10.x 以及 10.0.112.14 之前的 SeaMonkey 中的 nsTextEditorState::PrepareEditor 函式有一個釋放後使用弱點允許遠端攻擊者可透過不明向量執行任意程式碼或造成拒絕服務 (堆積記憶體損毀)此弱點與 CVE-2012-4214不同。
 CVE-2012-5841 在 17.0之前的 Mozilla Firefox、[] 之前的 Firefox ESR 10.x10.0.11、 17.0之前的 Thunderbird、 10.x 之前的 Thunderbird ESR [ 10.0.11以及 2.14 之前的 SeaMonkey 實作跨來源包裝函式時其篩選行為未正確限制寫入動作進而允許遠端攻擊者透過特製網站進行跨網站指令碼 (XSS) 攻擊。
 CVE-2012-5842 在 17.0之前的 Mozilla Firefox、 10.0.11之前的 Firefox ESR 10.x 、 17.0之前的 Thunderbird、 10.0.11] 之前的 Thunderbird ESR 10.x 以及 SeaMonkey 之前的 2.14 中瀏覽器引擎有多個不明弱點可允許遠端攻擊者造成拒絕服務 (記憶體損毀及應用程式損毀) 或可能透過未知向量執行任意程式碼。

Tenable 已直接從 MiracleLinux 安全性公告擷取前置描述區塊。

請注意,Nessus 並未測試這些問題,而是僅依據應用程式自我報告的版本號碼作出判斷。

解決方案

更新受影響的 firefox 和/或 xulrunner 套件。

另請參閱

https://tsn.miraclelinux.com/en/node/3617

Plugin 詳細資訊

嚴重性: High

ID: 284192

檔案名稱: miracle_linux_AXSA-2012-1051.nasl

版本: 1.1

類型: local

已發布: 2026/1/14

已更新: 2026/1/14

支援的感應器: Nessus Agent, Nessus

風險資訊

VPR

風險因素: Medium

分數: 6.7

Vendor

Vendor Severity: High

CVSS v2

風險因素: Critical

基本分數: 10

時間性分數: 7.8

媒介: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

CVSS 評分資料來源: CVE-2012-5835

CVSS v3

風險因素: High

基本分數: 8.8

時間性分數: 7.9

媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

時間媒介: CVSS:3.0/E:P/RL:O/RC:C

CVSS 評分資料來源: CVE-2012-5830

弱點資訊

CPE: p-cpe:/a:miracle:linux:xulrunner, cpe:/o:miracle:linux:4, p-cpe:/a:miracle:linux:firefox

必要的 KB 項目: Host/local_checks_enabled, Host/cpu, Host/MiracleLinux/release, Host/MiracleLinux/rpm-list

可被惡意程式利用: true

可輕鬆利用: Exploits are available

修補程式發佈日期: 2012/12/26

弱點發布日期: 2012/11/20

參考資訊

CVE: CVE-2012-4201, CVE-2012-4202, CVE-2012-4207, CVE-2012-4209, CVE-2012-4210, CVE-2012-4214, CVE-2012-4215, CVE-2012-4216, CVE-2012-5829, CVE-2012-5830, CVE-2012-5833, CVE-2012-5835, CVE-2012-5839, CVE-2012-5840, CVE-2012-5841, CVE-2012-5842