MiracleLinux 3firefox-17.0.5-1.0.1.AXS3、xulrunner-17.0.5-1.0.1.AXS3 (AXSA:2013-342:02)
medium Nessus Plugin ID 289452
語言:
概要
遠端 MiracleLinux 主機缺少一個或多個安全性更新。說明
遠端 MiracleLinux 3 主機已安裝受到多個弱點影響的套件如 AXSA:2013-342:02 公告中所提及。Mozilla Firefox 是開放原始碼網頁瀏覽器專為標準合規性、效能和可攜性而設計。
XULRunner 是 Mozilla 運行時間套件可用於啟動與 Firefox 和 Thunderbird 一樣豐富的 XUL+XPCOM 應用程式。它提供安裝、升級及解除安裝這些應用程式的機制。XULRunner 也提供 libxul此解決方案可將 Mozilla 技術內嵌在其他專案和產品中。
此版本修正的安全性問題
CVE-2013-0775 在 19.0之前的 Mozilla Firefox、 [] 之前的 Firefox ESR 17.x 、 17.0.317.0.3之前的 Thunderbird、 [ ] 之前的 Thunderbird ESR 17.x 以及 17.0.32.16 之前的 SeaMonkey 中nsImageLoadingContent::OnStopContainer 函式有一個釋放後使用弱點允許遠端攻擊者可透過特製的 web 指令碼執行任意程式碼。
CVE-2013-0776 允許攔截式攻擊者透過在 19.0之前的 Mozilla Firefox、 17.0.3之前的 Firefox ESR 17.x 、 17.0.3之前的 Thunderbird、 17.0.3之前的 Thunderbird ESR 17.x 以及 SeaMonkey 2.16 之前的版本一個 Proxy 伺服器提供 407 HTTP 狀態程式碼並伴隨 Web 指令碼HTTPS 網站上的網路釣魚攻擊即為一例。
CVE-2013-0780 在 19.0之前的 Mozilla Firefox、 17.0.3之前的 Firefox ESR 17.x ] 、 [ 17.0.3之前的 Thunderbird、 ] 之前的 Thunderbird ESR 17.x 以及 17.0.32.16 之前的 SeaMonkey 中的 nsOverflowContinuationTracker::Finish 函式有釋放後使用弱點允許遠端攻擊者可透過使用階層式樣式表 (CSS) -moz-column-* 內容的特製文件執行任意程式碼或造成拒絕服務 (堆積記憶體損毀)。
CVE-2013-0782 在 19.0之前的 Mozilla Firefox、 [] 之前的 Firefox ESR 17.x17.0.3之前的 Thunderbird、 17.0.3之前的 Thunderbird ESR 17.x 以及 17.0.32.16 之前的 SeaMonkey 中nsSaveAsCharset::DoCharsetConversion 函式中的堆積型緩衝區溢位允許遠端攻擊者透過不明向量執行任意程式碼。
CVE-2013-0783 在 19.0之前的 Mozilla Firefox、 17.0.3之前的 Firefox ESR 17.x 、 17.0.3之前的 Thunderbird、 17.0.3] 之前的 Thunderbird ESR 17.x 以及 SeaMonkey 之前的 2.16 中瀏覽器引擎有多個不明弱點可允許遠端攻擊者造成拒絕服務 (記憶體損毀及應用程式損毀) 或可能透過未知向量執行任意程式碼。
CVE-2013-0787 在 19.0.2[] 之前的 Mozilla Firefox、 之前的 Firefox ESR 17.x ] 、 17.0.4之前的 Thunderbird、 17.0.4之前的 Thunderbird 17.x 中editor/libeditor/base/nsEditor.cpp 的 nsEditor::IsPreformatted 函式存有釋放後使用弱點 17.0.4與 2.16.1 之前的 SeaMonkey 允許遠端攻擊者透過涉及 execCommand 呼叫的向量執行任意程式碼。
CVE-2013-0788 在 20.0之前的 Mozilla Firefox、 17.0.5之前的 Firefox ESR 17.x 、 17.0.5之前的 Thunderbird、 17.0.5] 之前的 Thunderbird ESR 17.x 以及 SeaMonkey 之前的 2.17 中瀏覽器引擎有多個不明弱點可允許遠端攻擊者造成拒絕服務 (記憶體損毀及應用程式損毀) 或可能透過未知向量執行任意程式碼。
CVE-2013-0793 之前的 Mozilla Firefox、[ 20.0之前的 Firefox ESR 17.x17.0.5、[ 17.0.5之前的 Thunderbird、 17.0.517.x 之前的 Thunderbird ESR ] 以及 2.17 之前的 SeaMonkey 在歷程記錄導覽期間未確保位址列的正確性其允許遠端攻擊者可利用對導覽計時的控制來發動跨網站指令碼 (XSS) 攻擊或網路釣魚攻擊。
CVE-2013-0795 在 20.0之前的 Mozilla Firefox、 17.0.5之前的 Firefox ESR 17.x 、 17.0.5之前的 Thunderbird、 [] 之前的 Thunderbird ESR 17.x17.0.5以及SeaMonkey 之前的 2.17 中System Only Wrapper (SOW) 實作未禁止使用 cloneNode複製受保護節點的方法其允許遠端攻擊者透過特製的網站繞過同源原則或可能使用 Chrome 權限執行任意 JavaScript 程式碼。
CVE-2013-0796 Linux 上在 20.0之前的 Mozilla Firefox、 17.0.5之前的 Firefox ESR 17.x 、 17.0.5之前的 Thunderbird、 17.0.5之前的 Thunderbird ESR 17.x 以及 2.17 之前的 SeaMonkey 中的 WebGL 子系統未與 Mesa 驅動程式正確互動其允許遠端攻擊者可透過不明向量執行任意程式碼或造成拒絕服務 (釋放未配置的記憶體)。
CVE-2013-0800 在 Pixman 中隨 Cairo 發布的以及在 20.0[] 之前的 Mozilla Firefox、之前的 Firefox ESR 17.x ]、 17.0.517.0.5之前的 Thunderbird、Thunderbird ESR 17.x 之前的 17.0.5中使用的 Pixman 中 pixman-sse2.c 之 pixman_fill_sse2 函式的整數正負號錯誤 、 2.17之前的 SeaMonkey 和其他產品允許遠端攻擊者透過會觸發嘗試使用 (1) 負方塊邊界或 (2) 負方塊大小的特製值執行任意程式碼進而導致超出邊界寫入作業。
Tenable 已直接從 MiracleLinux 安全性公告擷取前置描述區塊。
請注意,Nessus 並未測試這些問題,而是僅依據應用程式自我報告的版本號碼作出判斷。
解決方案
更新受影響的 firefox 和/或 xulrunner 套件。另請參閱
Plugin 詳細資訊
嚴重性: Medium
ID: 289452
檔案名稱: miracle_linux_AXSA-2013-342.nasl
版本: 1.1
類型: local
已發布: 2026/1/16
已更新: 2026/1/16
支援的感應器: Nessus Agent, Nessus
風險資訊
VPR
風險因素: Medium
分數: 6.7
Vendor
Vendor Severity: High
CVSS v2
風險因素: Critical
基本分數: 10
時間性分數: 7.8
媒介: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C
CVSS 評分資料來源: CVE-2013-0796
CVSS v3
風險因素: Medium
基本分數: 6.1
時間性分數: 5.5
媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
時間媒介: CVSS:3.0/E:P/RL:O/RC:C
CVSS 評分資料來源: CVE-2013-0793
弱點資訊
CPE: p-cpe:/a:miracle:linux:xulrunner, p-cpe:/a:miracle:linux:firefox, cpe:/o:miracle:linux:3
必要的 KB 項目: Host/local_checks_enabled, Host/cpu, Host/MiracleLinux/release, Host/MiracleLinux/rpm-list
可被惡意程式利用: true
可輕鬆利用: Exploits are available
修補程式發佈日期: 2013/4/8
弱點發布日期: 2013/2/19
參考資訊
CVE: CVE-2013-0775, CVE-2013-0776, CVE-2013-0780, CVE-2013-0782, CVE-2013-0783, CVE-2013-0787, CVE-2013-0788, CVE-2013-0793, CVE-2013-0795, CVE-2013-0796, CVE-2013-0800