MiracleLinux 3firefox-3.6.11-2.0.1.AXS3 nss-3.12.8-1.AXS3 xulrunner-1.9.2.11-2.0.1.AXS3 (AXSA:2010-476:07)
medium Nessus Plugin ID 284364
語言:
概要
遠端 MiracleLinux 主機缺少一個或多個安全性更新。說明
遠端 MiracleLinux 3 主機已安裝受到多個弱點影響的套件如 AXSA:2010-476:07 公告中所提及。Mozilla Firefox 是開放原始碼網頁瀏覽器專為標準合規性、效能和可攜性而設計。
Network Security Services (NSS) 是一組程式庫,專用於支援啟用安全性之用戶端及伺服器應用程式的跨平台開發。以 NSS 構建的應用程式可支援 SSL v2 和 v3、TLS、PKCS #5、PKCS #7、PKCS #11、PKCS #12、S/MIME、X.509 v3 憑證及其他安全性標準。
XULRunner 為 Gecko 應用程式提供 XUL 執行階段環境。
此版本修正的安全性問題
CVE-2010-3170 在 3.5.14 之前的 Mozilla Firefox 和 3.6.x 之前的 3.6.11、 3.0.9 之前的 Thunderbird 和 3.1.x3.1.5之前的 ]以及 2.0.9 之前的 SeaMonkey 可辨識 X.509 憑證之主體之共用名稱欄位中的萬用字元 IP 位址這可能允許攔截式攻擊者透過由合法憑證授權單位核發的特製憑證偽造任意 SSL 伺服器。
CVE-2010-3173 在 [ 3.5.14 之前的 Mozilla Firefox 和 3.6.x 之前的 3.6.11中、Thunderbird [] 之前的 3.0.9 和 3.1.x3.1.5] 之前的 以及 SeaMonkey 2.0.9 之前的 中SSL 實作未正確設定 Diffie-Hellman Ephemeral (DHE) 的最小金鑰長度模式其可讓遠端攻擊者更容易透過暴力密碼破解攻擊破解密碼編譯保護機制。
CVE-2010-3175 在 3.6.11 ] 之前的 Mozilla Firefox 3.6.x 和 [] 之前的 Thunderbird 3.1.x3.1.5 中瀏覽器引擎有多個不明弱點允許遠端攻擊者透過未知向量造成拒絕服務 (記憶體損毀和應用程式損毀)或可能執行任意程式碼。
CVE-2010-3176 在 Mozilla Firefox 3.5.x 之前的 3.5.14 和 3.6.x3.6.11] 之前的 、Thunderbird 3.0.9 [] 之前的 和 3.1.x ] 之前的 3.1.5以及 SeaMonkey 之前的 2.0.9 中瀏覽器引擎有多個不明弱點允許遠端攻擊者造成拒絕服務 (記憶體損毀和應用程式損毀) 或可能透過未知向量執行任意程式碼。
CVE-2010-3177 在 3.5.14 之前的 3.6.11] 和 3.6.x2.0.9之前的 SeaMonkey 之前的 Mozilla Firefox 中Gopher 剖析器存有多個跨網站指令碼 (XSS) 弱點其允許遠端攻擊者透過特製的(1) 檔案或 (2) Gopher 伺服器上的目錄。
CVE-2010-3178 在 3.5.14 之前的版本和 3.6.x ] 之前的 3.6.11] Mozilla Firefox、 3.0.9 之前的 Thunderbird 和 3.1.x 之前的 3.1.5以及 2.0.9 之前的 SeaMonkey 在與開啟新視窗相關的情況下未正確處理 javascript: URL 發出的特定模態呼叫以及執行跨網域導覽這可讓遠端攻擊者透過特製的 HTML 文件繞過同源原則。
CVE-2010-3179 在 3.5.14 之前的 Mozilla Firefox 和 3.6.x3.6.11] 之前的 、 3.0.9 [] 之前的 之前的 Thunderbird、 [] 之前的 3.1.5] 以及 3.1.x2.0.9 之前的 SeaMonkey 中文字轉譯功能中的堆疊型緩衝區溢位允許遠端攻擊者執行任意程式碼或透過提供給 document.write 方法的長引數造成拒絕服務 (記憶體損毀和應用程式損毀)。
CVE-2010-3180 在 [] 之前的 Mozilla Firefox 3.5.14 之前的 3.6.11之前的 [ 3.6.x 、 3.0.9 之前的 Thunderbird [] 之前的 3.1.53.1.x 以及 2.0.9 之前的 SeaMonkey 中nsBarProp 函式中的釋放後使用弱點允許遠端攻擊者透過存取關閉視窗的位置列內容。
CVE-2010-3182 在 Linux 上 3.5.14 之前的 Mozilla Firefox 和 3.6.x3.6.11之前的 ] 、Thunderbird [] 之前的 3.0.9 和 [ 3.1.5之前的 3.1.x 以及 2.0.9 之前的 SeaMonkey 中特定的應用程式啟動指令碼會在 LD_LIBRARY_PATH 中放置一個零長度目錄名稱。這會允許本機使用者透過目前工作目錄中的特洛伊木馬共用程式庫取得權限。
CVE-2010-3183 在 Mozilla Firefox 之前的 3.5.14 和 3.6.x 之前的 3.6.11中、Thunderbird 3.0.9 [] 之前的 和 3.1.x 之前的 3.1.5以及 SeaMonkey 之前 2.0.9 中的 LookupGetterOrSetter 函式未正確支援缺少引數的 window.__lookupGetter__ 函式呼叫其允許遠端攻擊者可透過特製的 HTML 文件執行任意程式碼或造成拒絕服務 (不正確的指標解除參照和應用程式損毀)。
Tenable 已直接從 MiracleLinux 安全性公告擷取前置描述區塊。
請注意,Nessus 並未測試這些問題,而是僅依據應用程式自我報告的版本號碼作出判斷。
解決方案
更新受影響的 firefox 和/或 xulrunner 套件。另請參閱
Plugin 詳細資訊
嚴重性: Medium
ID: 284364
檔案名稱: miracle_linux_AXSA-2010-476.nasl
版本: 1.1
類型: local
已發布: 2026/1/14
已更新: 2026/1/14
支援的感應器: Nessus Agent, Nessus
風險資訊
VPR
風險因素: Medium
分數: 6.7
Vendor
Vendor Severity: High
CVSS v2
風險因素: High
基本分數: 9.3
時間性分數: 7.3
媒介: CVSS2#AV:N/AC:M/Au:N/C:C/I:C/A:C
CVSS 評分資料來源: CVE-2010-3183
CVSS v3
風險因素: Medium
基本分數: 6.1
時間性分數: 5.5
媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
時間媒介: CVSS:3.0/E:P/RL:O/RC:C
CVSS 評分資料來源: CVE-2010-3177
弱點資訊
CPE: p-cpe:/a:miracle:linux:firefox, p-cpe:/a:miracle:linux:xulrunner, cpe:/o:miracle:linux:3
必要的 KB 項目: Host/local_checks_enabled, Host/cpu, Host/MiracleLinux/release, Host/MiracleLinux/rpm-list
可被惡意程式利用: true
可輕鬆利用: Exploits are available
修補程式發佈日期: 2010/10/28
弱點發布日期: 2010/8/27
參考資訊
CVE: CVE-2010-3170, CVE-2010-3173, CVE-2010-3175, CVE-2010-3176, CVE-2010-3177, CVE-2010-3178, CVE-2010-3179, CVE-2010-3180, CVE-2010-3182, CVE-2010-3183