偵測

MiracleLinux 4firefox-38.2.0-4.0.1.AXS4 (AXSA:2015-442:07)

medium Nessus Plugin ID 289629

語言:

概要

遠端 MiracleLinux 主機缺少一個或多個安全性更新。

說明

遠端 MiracleLinux 4 主機已安裝一個受到 AXSA:2015-442:07 公告中提及的多個弱點影響的套件。

 Mozilla Firefox 是開放原始碼網頁瀏覽器專為標準合規性、效能和可攜性而設計。
 透過此更新可修正下列問題
 * CVE-2015-4473:
 在 40.0 之前的 Mozilla Firefox 和 [] 之前的 Firefox ESR 38.x38.2 中瀏覽器引擎有多個不明弱點允許遠端攻擊者透過未知向量來引發拒絕服務 (記憶體損毀和應用程式損毀)或可能執行任意程式碼。
 * CVE-2015-4475:
 在 Mozilla Firefox 40.0 之前的版本和 Firefox ESR 38.x38.2 ] 之前的版本中mozilla::AudioSink 函式不當處理 MP3 音訊資料內不一致的範例格式其允許遠端攻擊者執行任意程式碼或造成拒絕服務 (超出邊界讀取) 透過格式錯誤的檔案。
 * CVE-2015-4478:
 40.0 之前的 Mozilla Firefox 和 38.2 之前的 Firefox ESR 38.x ] 未對 JavaScript 物件內容強加特定的 ECMAScript 6 需求遠端攻擊者因而得以透過 JSON.parse 方法的 revover 參數繞過同源原則。
 * CVE-2015-4479:
 在 40.0 之前的 Mozilla Firefox 和 38.2 之前的 Firefox ESR 38.x 中libstagefright 內的多個整數溢位允許遠端攻擊者透過 MPEG-4 視訊資料中特製的 saio 區塊執行任意程式碼。
 * CVE-2015-4480:
 在 40.0 之前的 Mozilla Firefox 和 [] 之前的 Firefox ESR 38.x38.2 中libstagefright 的stagefright::SampleTable::isValid 函式存在整數溢位允許遠端攻擊者透過使用 H.264 編碼的特製 MPEG-4 視訊資料執行任意程式碼。
 * CVE-2015-4484:
 在 38.240.0 之前的 Mozilla Firefox 和 [] 之前的 Firefox ESR 38.x 中 JavaScript 實作的 js::jit::AssemblerX86Shared::lock_addl 函式允許遠端攻擊者透過利用共用記憶體造成拒絕服務 (應用程式損毀)以及存取 (1) Atomics 物件或 (2) SharedArrayBuffer 物件。
 * CVE-2015-4485:
 在 40.0 之前的 Mozilla Firefox 和 之前的 Firefox ESR 38.x [ 38.2 中libvpx 的 resize_context_buffers 函式存有堆積型緩衝區溢位允許遠端攻擊者透過格式錯誤的 WebM 視訊資料執行任意程式碼。
 * CVE-2015-4486:
 在 Mozilla Firefox 40.0 之前的版本和 Firefox ESR 38.x38.2 之前的版本中libvpx 的 decrease_ref_count 函式允許遠端攻擊者透過格式錯誤的 WebM 視訊資料執行任意程式碼或造成拒絕服務 (超出邊界讀取)。
 * CVE-2015-4487:
 在 40.0之前的 Mozilla Firefox、 38.2之前的 Firefox ESR 38.x 之前的 Firefox OS 以及 2.2 之前的 Firefox OS 中nsTSubstring::ReplacePrep 函式可能允許遠端攻擊者透過未知向量造成拒絕服務 (記憶體損毀)或可能帶來其他不明影響與溢位有關。
 * CVE-2015-4488:
 在 40.0之前的 Mozilla Firefox、 38.2之前的 Firefox ESR 38.x 之前的 Firefox OS 2.2 之前的 版中StyleAnimationValue 類別有一個釋放後使用弱點允許遠端攻擊者利用 StyleAnimationValue::operator 自我指派造成不明影響。
 * CVE-2015-4489:
 在 40.0之前的 Mozilla Firefox、 38.2之前的 Firefox ESR 38.x 以及 Firefox OS 之前的 2.2 中nsTArray_Impl 類別可能允許遠端攻擊者利用自我指派造成拒絕服務 (記憶體損毀) 或可能造成其他不明影響。
 * CVE-2015-4491:
 在 2.31.5之前的 Mozilla Firefox ( 40.0 之前的 Mozilla Firefox 38.x 之前的 版 38.2 )和 Linux、Linux 上的 Google Chrome 及其他產品中所使用的 gdk-pixbuf 中pixops/pixops.c 的 make_filter_table 函式中的整數溢位允許遠端攻擊者可透過在縮放期間不當處理的特製點陣圖尺寸執行任意程式碼或造成拒絕服務 (堆積型緩衝區溢位和應用程式損毀)。
 * CVE-2015-4492:
 在 40.0 [] 之前的 Mozilla Firefox 之前的 版和 Firefox ESR 38.x 之前的 [ 38.2 中XMLHttpRequest::Open 實作中的釋放後使用弱點可允許遠端攻擊者透過 SharedWorker 物件對 XMLHttpRequest 的 open 方法進行遞回呼叫從而執行任意程式碼。物件。
 * CVE-2015-4493:
 在 40.0 之前的 Mozilla Firefox 和 之前的 Firefox ESR 38.x38.2 中libstagefright 的stagefright::EDS::parseESDescriptor 函式有堆積型緩衝區溢位允許遠端攻擊者透過 MPEG-2 中 esds 區塊的無效大小欄位執行任意程式碼。 4 視訊資料。

Tenable 已直接從 MiracleLinux 安全性公告擷取前置描述區塊。

請注意,Nessus 並未測試這些問題,而是僅依據應用程式自我報告的版本號碼作出判斷。

解決方案

更新受影響的 firefox 套件。

另請參閱

https://tsn.miraclelinux.com/en/node/5792

Plugin 詳細資訊

嚴重性: Medium

ID: 289629

檔案名稱: miracle_linux_AXSA-2015-442.nasl

版本: 1.1

類型: local

已發布: 2026/1/16

已更新: 2026/1/16

支援的感應器: Nessus Agent, Nessus

風險資訊

VPR

風險因素: Medium

分數: 5.9

Vendor

Vendor Severity: High

CVSS v2

風險因素: Critical

基本分數: 10

時間性分數: 7.4

媒介: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

CVSS 評分資料來源: CVE-2015-4486

CVSS v3

風險因素: Medium

基本分數: 6.5

時間性分數: 5.7

媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H

時間媒介: CVSS:3.0/E:U/RL:O/RC:C

CVSS 評分資料來源: CVE-2015-4484

弱點資訊

CPE: p-cpe:/a:miracle:linux:firefox, cpe:/o:miracle:linux:4

必要的 KB 項目: Host/local_checks_enabled, Host/MiracleLinux/release, Host/MiracleLinux/rpm-list, Host/cpu

可輕鬆利用: No known exploits are available

修補程式發佈日期: 2015/8/20

弱點發布日期: 2015/8/11

參考資訊

CVE: CVE-2015-4473, CVE-2015-4475, CVE-2015-4478, CVE-2015-4479, CVE-2015-4480, CVE-2015-4484, CVE-2015-4485, CVE-2015-4486, CVE-2015-4487, CVE-2015-4488, CVE-2015-4489, CVE-2015-4491, CVE-2015-4492, CVE-2015-4493