MiracleLinux 4:firefox-17.0.9-1.0.1.AXS4,xulrunner-17.0.9-1.0.1.AXS4 (AXSA:2013-625:07)
medium Nessus Plugin ID 289624
語言:
概要
遠端 MiracleLinux 主機缺少一個或多個安全性更新。說明
遠端 MiracleLinux 4 主機中安裝的套件受到 AXSA:2013-625:07 公告中提及的多個弱點影響。Mozilla Firefox 是一個開放原始碼的網頁瀏覽器,專為標準合規性、效能和可攜性而設計。
在此版本中修正的安全性問題:
CVE-2013-1701 在 23.0 之前的 Mozilla Firefox、17.0.8 之前的 17.x 版 Firefox ESR、17.0.8 之前的 Thunderbird、17.0.8 之前的 17.x 版 Thunderbird ESR 以及 2.20 之前的 SeaMonkey 中,瀏覽器引擎有多個不明弱點,允許遠端攻擊者透過未知媒介造成拒絕服務 (記憶體損毀和應用程式損毀),或可能執行任意程式碼。
CVE-2013-1709 Mozilla Firefox 23.0 之前版本、Firefox ESR 17.0.8 之前的 17.x 版、 Thunderbird 17.0.8 之前版本、Thunderbird ESR 17.0.8 之前的 17.x 版,以及 SeaMonkey 2.20 之前版本未正確處理 FRAME 元素與歷史記錄之間的互動,進而允許遠端攻擊者透過涉及偽造先前所造訪文件中相對位置的媒介,發動跨網站指令碼 (XSS) 攻擊。
CVE-2013-1710 在 Mozilla Firefox 23.0 之前版本、Firefox ESR 17.0.8 之前的 17.x 版、 Thunderbird 17.0.8 之前版本、Thunderbird ESR 17.0.8 之前的 17.x 版,以及 SeaMonkey 2.20 之前版本中,crypto.generateCRMFRequest 函式允許遠端攻擊者透過與憑證要求訊息格式 (CRMF) 要求產生相關的媒介執行任意 JavaScript 程式碼,或發動跨網站指令碼 (XSS) 攻擊。
CVE-2013-1713 Mozilla Firefox 23.0 之前版本、Firefox ESR 17.0.8 之前的 17.x 版、 Thunderbird 17.0.8 之前版本、Thunderbird ESR 17.0.8 之前的 17.x 版,以及 SeaMonkey 2.20 之前版本在強制執行同源原則期間,會在不明比較中使用不正確的 URI,遠端攻擊者可透過特製的網站來發動跨網站指令碼 (XSS) 攻擊或安裝任意附加元件。
CVE-2013-1714 在 Mozilla Firefox 23.0 之前版本、Firefox ESR 17.0.8 之前的 17.x 版、 Thunderbird 17.0.8 之前版本、Thunderbird ESR 17.0.8 之前的 17.x 版,以及 SeaMonkey 2.20 之前版本中,Web 背景工作實作未正確限制 XMLHttpRequest 呼叫,進而允許遠端攻擊者繞過同源原則,並透過不明媒介發動跨網站指令碼 (XSS) 攻擊。
CVE-2013-1717 Mozilla Firefox 23.0 之前版本、Firefox ESR 17.0.8 之前的 17.x 版、 Thunderbird 17.0.8 之前版本、Thunderbird ESR 17.0.8 之前的 17.x 版,以及 SeaMonkey 2.20 之前版本未正確限制 Java applet 的本機檔案系統存取,進而允許遠端攻擊者在使用者的協助下,透過將檔案下載至固定路徑名稱或其他可預測路徑名稱來讀取任意檔案。
CVE-2013-1718 在 24.0 之前的 Mozilla Firefox、17.0.9 之前的 17.x 版 Firefox ESR、24.0 之前的 Thunderbird、17.0.9 之前的 17.x 版 Thunderbird ESR 以及 2.21 之前的 SeaMonkey 中,瀏覽器引擎有多個不明弱點,允許遠端攻擊者透過未知媒介造成拒絕服務 (記憶體損毀和應用程式損毀),或可能執行任意程式碼。
CVE-2013-1722 在 Mozilla Firefox 24.0 之前版本、Firefox ESR 17.0.9 之前的 17.x 版、 Thunderbird 24.0 之前版本、Thunderbird ESR 17.0.9 之前的 17.x 版,以及 SeaMonkey 2.21 之前版本中,Animation Manager 的 nsAnimationManager::BuildAnimations 函式包含釋放後使用弱點,遠端攻擊者可透過與 stylesheet 複製相關的媒介來執行任意程式碼或造成系統拒絕服務 (堆積記憶體損毀)。
CVE-2013-1725 Mozilla Firefox 24.0 之前版本、Firefox ESR 17.0.9 之前的 17.x 版、 Thunderbird 24.0 之前版本、Thunderbird ESR 17.0.9 之前的 17.x 版,以及 SeaMonkey 2.21 之前版本未確保對具有區間的 JavaScript 物件進行初始化,進而允許遠端攻擊者利用不正確的範圍處理來執行任意程式碼。
CVE-2013-1730 Mozilla Firefox 24.0 之前版本、Firefox ESR 17.0.9 之前的 17.x 版、 Thunderbird 24.0 之前版本、Thunderbird ESR 17.0.9 之前的 17.x 版,以及 SeaMonkey 2.21 之前版本未正確處理基於 XBL 的節點在文件之間的移動,遠端攻擊者可透過特製的網站來執行任意程式碼或造成系統拒絕服務 (JavaScript 區間不相符、宣告失敗和應用程式退出)。
CVE-2013-1732 在 Mozilla Firefox 24.0 之前版本、Firefox ESR 17.0.9 之前的 17.x 版、 Thunderbird 24.0 之前版本、Thunderbird ESR 17.0.9 之前的 17.x 版,以及 SeaMonkey 2.21 之前版本中,nsFloatManager::GetFlowArea 函式包含緩衝區溢位問題,遠端攻擊者可透過在多列版面配置中惡意使用清單和浮動元素來執行任意程式碼。
CVE-2013-1735 在 Mozilla Firefox 24.0 之前版本、Firefox ESR 17.0.9 之前的 17.x 版、 Thunderbird 24.0 之前版本、Thunderbird ESR 17.0.9 之前的 17.x 版,以及 SeaMonkey 2.21 之前版本中,mozilla::layout::ScrollbarActivity 函式包含釋放後使用弱點,遠端攻擊者可透過與圖像文件捲動相關的媒介來執行任意程式碼。
CVE-2013-1736 在 Mozilla Firefox 24.0 之前版本、Firefox ESR 17.0.9 之前的 17.x 版、 Thunderbird 24.0 之前版本、Thunderbird ESR 17.0.9 之前的 17.x 版,以及 SeaMonkey 2.21 之前版本中,nsGfxScrollFrameInner::IsLTR 函式允許遠端攻擊者透過與不當建立範圍要求節點的父項子項關係相關的媒介來執行任意程式碼或造成系統拒絕服務 (記憶體損毀)。
CVE-2013-1737 Mozilla Firefox 24.0 之前版本、Firefox ESR 17.0.9 之前的 17.x 版、 Thunderbird 24.0 之前版本、Thunderbird ESR 17.0.9 之前的 17.x 版,以及 SeaMonkey 2.21 之前版本未正確識別 DOM proxy 上使用者定義的 getter 方法中的 this 物件,遠端攻擊者可透過涉及 expando 物件的媒介來繞過預定的存取限制。
Tenable 已直接從 MiracleLinux 安全公告擷取前置描述區塊。
請注意,Nessus 並未測試這些問題,而是僅依據應用程式自我報告的版本號碼作出判斷。
解決方案
更新受影響的 firefox 和/或 xulrunner 套件。另請參閱
Plugin 詳細資訊
嚴重性: Medium
ID: 289624
檔案名稱: miracle_linux_AXSA-2013-625.nasl
版本: 1.2
類型: local
已發布: 2026/1/16
已更新: 2026/2/9
支援的感應器: Nessus Agent, Nessus
風險資訊
VPR
風險因素: Medium
分數: 6.7
Vendor
Vendor Severity: High
CVSS v2
風險因素: Critical
基本分數: 10
時間性分數: 8.7
媒介: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C
CVSS 評分資料來源: CVE-2013-1736
CVSS v3
風險因素: Medium
基本分數: 6.1
時間性分數: 5.8
媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
時間媒介: CVSS:3.0/E:H/RL:O/RC:C
CVSS 評分資料來源: CVE-2013-1713
弱點資訊
CPE: p-cpe:/a:miracle:linux:firefox, p-cpe:/a:miracle:linux:xulrunner, cpe:/o:miracle:linux:4
必要的 KB 項目: Host/local_checks_enabled, Host/MiracleLinux/release, Host/MiracleLinux/rpm-list, Host/cpu
可被惡意程式利用: true
可輕鬆利用: Exploits are available
修補程式發佈日期: 2013/9/23
弱點發布日期: 2013/8/6
可惡意利用
Metasploit (Firefox 5.0 - 15.0.1 __exposedProps__ XCS Code Execution)
參考資訊
CVE: CVE-2013-1701, CVE-2013-1709, CVE-2013-1710, CVE-2013-1713, CVE-2013-1714, CVE-2013-1717, CVE-2013-1718, CVE-2013-1722, CVE-2013-1725, CVE-2013-1730, CVE-2013-1732, CVE-2013-1735, CVE-2013-1736, CVE-2013-1737