MiracleLinux 4yelp-2.28.1-13.AXS4、xulrunner-10.0.3-1.0.1.AXS4、firefox-10.0.3-1.0.1.AXS4 (AXSA:2012-475:03)
medium Nessus Plugin ID 284231
語言:
概要
遠端 MiracleLinux 主機缺少一個或多個安全性更新。說明
遠端 MiracleLinux 4 主機已安裝受到多個弱點影響的套件如 AXSA:2012-475:03 公告中所提及。Mozilla Firefox 是開放原始碼網頁瀏覽器專為標準合規性、效能和可攜性而設計。
此版本修正的問題
firefox 套件已升級至 版 10.0.1。
此版本修正的安全性問題
CVE-2012-0451 Mozilla Firefox 4.x 到 10.0、Firefox ESR 10.x 之前的 10.0.3、Thunderbird 5.0 到 10.0、Thunderbird ESR 10.x 之前的 10.0.3以及 SeaMonkey 之前的 2.8 中的 CRLF 插入弱點可讓遠端網頁伺服器繞過預定的內容Security Policy (CSP) 限制且可能透過特製 HTTP 標頭髮動跨網站指令碼 (XSS) 攻擊。
CVE-2012-0455 之前的 Mozilla Firefox 3.6.28 和 4.x 到 10.0之前的 Mozilla Firefox、 10.0.3之前的 Firefox ESR 10.x 、 3.1.20 和 5.0 到 10.0之前的 Thunderbird、 10.0.3之前的 Thunderbird ESR 10.x 以及 2.8 之前的 SeaMonkey javascript: URL 上的拖放作業允許使用者協助的遠端攻擊者透過特製網頁發動跨網站指令碼 (XSS) 攻擊與 DragAndDropJacking 問題相關。
CVE-2012-0456 在 之前的 Mozilla Firefox 和 4.x3.6.28 到 10.0、Firefox ESR 10.x 之前的 Firefox 10.0.3、Thunderbird 3.1.20 [] 和 到 10.0、 5.0 ] 之前的 Thunderbird ESR 10.x 以及 SeaMonkey 之前的 10.0.32.8 中的 SVG 篩選實作。 可能允許遠端攻擊者透過會觸發超出邊界讀取的向量從處理程序記憶體取得敏感資訊。
CVE-2012-0457 在 [] 之前的 Mozilla Firefox 和 3.6.284.x 到 10.0、[] 之前的 Firefox ESR 10.x 、 10.0.33.1.20 之前的 Thunderbird 和 5.0 到 10.0、Thunderbird 10.x ESR的 nsSMILTimeValueSpec::ConvertBetweenTimeContainer 函式中存在釋放後使用弱點在 10.0.3之前的版本以及 2.8 之前的 SeaMonkey 可能允許遠端攻擊者透過 SVG 動畫執行任意程式碼。
CVE-2012-0458 之前的 Mozilla Firefox 3.6.28 和 4.x 到 10.0之前的 Mozilla Firefox、 10.0.3之前的 Firefox ESR 10.x 、 3.1.20 和 5.0 到 10.0之前的 Thunderbird、 10.0.3之前的 Thunderbird ESR 10.x 以及 2.8 之前的 SeaMonkey透過將 URL 拖曳至首頁按鈕來設定首頁進而允許使用者協助的遠端攻擊者透過 javascript:
about:sessionrestore 內容中解譯的 URL。
CVE-2012-0459 Mozilla Firefox 4.x 至 10.0、Firefox ESR 10.x 之前 10.0.3、Thunderbird 5.0 至 10.0、Thunderbird ESR 10.x 之前 10.0.3以及 SeaMonkey 之前 2.8 中的階層式樣式表 (CSS) 實作允許遠端攻擊者造成拒絕服務 (應用程式損毀) 或可能透過存取 keyframe 之 cssText 的 keyframe 動態修改來執行任意程式碼。
CVE-2012-0460 Mozilla Firefox 4.x 至 10.0、Firefox ESR 10.x 之前的 10.0.3、Thunderbird 5.0 至 10.0、Thunderbird ESR 10.x 之前的 10.0.3以及 SeaMonkey 之前的 2.8 未正確限制 window.fullScreen 物件的寫入存取權其允許遠端攻擊者透過特製網頁偽造使用者介面。
CVE-2012-0461 和 4.x3.6.28 到 10.0[] 之前的 Mozilla Firefox、之前的 Firefox ESR 10.x 、 10.0.3之前的 Thunderbird和 5.03.1.20 到 10.0、Thunderbird ESR 10.x 到 [] 之前的 10.0.3以及 2.8 之前的 SeaMonkey 允許遠端攻擊者透過未知向量造成拒絕服務 (記憶體損毀及應用程式損毀)或可能執行任意程式碼。
CVE-2012-0462 在 Mozilla Firefox 4.x 至 10.0、Firefox ESR 10.x 之前 10.0.3、Thunderbird 5.0 至 10.0、Thunderbird ESR 10.x 之前 10.0.3以及 SeaMonkey 之前 2.8 中瀏覽器引擎有多個不明弱點允許遠端攻擊者會透過未知向量造成拒絕服務 (記憶體損毀和應用程式損毀)或可能執行任意程式碼。
CVE-2012-0464 在 [] 之前的 Mozilla Firefox 和 3.6.28 到 10.0、 4.x ] 之前的 Firefox ESR 10.x 、 10.0.3] 之前的 Thunderbird 和 3.1.20 到 10.0、 5.0 ] 之前的 Thunderbird ESR 10.x10.0.3中瀏覽器引擎有釋放後使用弱點和 之前的 SeaMonkey 2.8 允許遠端攻擊者透過涉及 array.join 函式空引數的向量並觸發記憶體回收來執行任意程式碼。
修正的錯誤:
現已提供 Yelp。
重要︰Firefox 10 並未完全回溯相容於搭配 Firefox 使用的所有 Mozilla 附加元件和 Firefox 外掛程式 3.6。Firefox 10 會在首次啟動時檢查相容性然後視個別組態以及已安裝的附加元件和外掛程式而定可能會停用上述附加元件和外掛程式或嘗試檢查更新並進行升級。附加元件和外掛程式可能必須以手動方式更新。
Tenable 已直接從 MiracleLinux 安全性公告擷取前置描述區塊。
請注意,Nessus 並未測試這些問題,而是僅依據應用程式自我報告的版本號碼作出判斷。
解決方案
更新受影響的 firefox、xulrunner 和/或 yelp 套件。另請參閱
Plugin 詳細資訊
嚴重性: Medium
ID: 284231
檔案名稱: miracle_linux_AXSA-2012-475.nasl
版本: 1.1
類型: local
已發布: 2026/1/14
已更新: 2026/1/14
支援的感應器: Nessus Agent, Nessus
風險資訊
VPR
風險因素: Medium
分數: 6.7
Vendor
Vendor Severity: High
CVSS v2
風險因素: High
基本分數: 9.3
時間性分數: 7.3
媒介: CVSS2#AV:N/AC:M/Au:N/C:C/I:C/A:C
CVSS 評分資料來源: CVE-2012-0457
CVSS v3
風險因素: Medium
基本分數: 6.1
時間性分數: 5.5
媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
時間媒介: CVSS:3.0/E:P/RL:O/RC:C
CVSS 評分資料來源: CVE-2012-0455
弱點資訊
CPE: p-cpe:/a:miracle:linux:firefox, cpe:/o:miracle:linux:4, p-cpe:/a:miracle:linux:xulrunner, p-cpe:/a:miracle:linux:yelp
必要的 KB 項目: Host/local_checks_enabled, Host/cpu, Host/MiracleLinux/release, Host/MiracleLinux/rpm-list
可被惡意程式利用: true
可輕鬆利用: Exploits are available
修補程式發佈日期: 2012/4/11
弱點發布日期: 2012/3/13
參考資訊
CVE: CVE-2012-0451, CVE-2012-0455, CVE-2012-0456, CVE-2012-0457, CVE-2012-0458, CVE-2012-0459, CVE-2012-0460, CVE-2012-0461, CVE-2012-0462, CVE-2012-0464