偵測

MiracleLinux 3firefox-10.0.12-1.0.1.AXS3、xulrunner-10.0.12-1.0.1.AXS3 (AXSA:2013-41:01)

high Nessus Plugin ID 289980

語言:

概要

遠端 MiracleLinux 主機缺少一個或多個安全性更新。

說明

遠端 MiracleLinux 3 主機已安裝受到 AXSA:2013-41:01 公告中所提及的多個弱點影響的套件。

 Mozilla Firefox 是開放原始碼網頁瀏覽器專為標準合規性、效能和可攜性而設計。
 此版本修正的安全性問題
 CVE-2013-0744 在 [] 之前的 Mozilla Firefox、 18.0之前的 [] 和 [] 之前的 10.0.1210.x 、 17.x ] 之前的 Thunderbird、 [ 17.0.2之前的 Thunderbird、 17.0.2之前的 Thunderbird ESR 10.x10.0.12 中TableBackgroundPainter::TableBackgroundData::Destroy 函式存在釋放後使用弱點之前的 17.x 和 17.0.2以及 2.15 之前的 SeaMonkey 允許遠端攻擊者透過具有表格的 HTML 文件 (其表格包含許多欄和欄群組) 執行任意程式碼或造成拒絕服務 (堆積記憶體損毀)。
 CVE-2013-0746 之前的 Mozilla Firefox、 18.0之前的 Firefox ESR 10.x10.0.12 和 17.x 之前的 17.0.2、 17.0.2之前的 Thunderbird、[] 之前的 Thunderbird ESR 10.x10.0.12 和 17.x 之前的 17.0.2以及 SeaMonkey 2.15 之前的 版本未正確實作使用 jsval 資料類型作為其傳回值的 quickstubs其允許遠端攻擊者透過在記憶體回收期間未正確處理的特製 JavaScript 程式碼執行任意程式碼或造成拒絕服務 (區間不相符和應用程式損毀)。
 CVE-2013-0748 在 [] 之前的 Mozilla Firefox、 18.0之前的 Firefox ESR 10.x 和 17.x 之前的 10.0.12 、 17.0.2之前的 Thunderbird、 17.0.2之前的 Thunderbird ESR 10.x 和 10.0.12 之前的 [] 以及 17.x17.0.2] 之前的 [] 中的 XBL .__proto__.toString 實作以及 2.15 之前的 SeaMonkey 可讓遠端攻擊者更容易透過呼叫 XBL 物件的 toString 函式繞過 ASLR 保護機制。
 CVE-2013-0750 之前的 Mozilla Firefox、 18.0之前的 Firefox ESR 10.x 和 17.x 之前的 10.0.1217.0.2、 [] 之前的 Thunderbird、 17.0.2之前的 Thunderbird ESR 10.x10.0.12 和 17.x 之前的 17.0.2以及 SeaMonkey 中的 JavaScript 實作存在整數溢位 2.15 之前版本 允許遠端攻擊者透過特製的字串串連來執行任意程式碼進而導致不當的記憶體配置和堆積型緩衝區溢位。
 CVE-2013-0753 在 [ 18.0之前的 Mozilla Firefox、 10.0.12 之前的 Firefox ESR 10.x 和 17.x 之前的 17.0.2[]、 17.0.2之前的 Thunderbird、 Thunderbird ESR 10.x 之前的 [] 和 10.0.12 中XMLSerializer 元件的 serializeToStream 實作中存在釋放後使用弱點 17.x 之前的 17.0.2和 2.15 之前的 SeaMonkey允許遠端攻擊者透過特製的 web 內容執行任意程式碼。
 CVE-2013-0754 在 18.0[] 之前的 Mozilla Firefox、 之前的 Firefox ESR 10.x 和 17.x 之前的 10.0.1217.0.2、 [] 之前的 Thunderbird、 Thunderbird ESR 17.0.210.x 之前的 10.0.12 和 17.x 之前的 [ 17.0.2中的 ListenerManager 實作有釋放後使用弱點及 之前的 SeaMonkey 2.15 允許遠端攻擊者透過向量執行任意程式碼該向量涉及在接聽程式物件的記憶體配置後觸發記憶體回收。
 CVE-2013-0758 在 18.0之前的 Mozilla Firefox、Firefox ESR 10.x 之前的 10.0.12 和 17.x 之前的 17.0.217.0.2、Thunderbird 10.x 之前的 10.0.12 和 17.x 之前的 17.0.2以及 SeaMonkey 之前的 2.15 允許遠端攻擊者透過利用外掛程式物件和 SVG 元素之間的不當互動以 chrome 權限執行任意 JavaScript 程式碼。
 CVE-2013-0759 在 18.0之前的 Mozilla Firefox、Firefox ESR 10.x 之前的 10.0.12 和 17.x 之前的 17.0.217.0.2、Thunderbird 10.x 之前的 10.0.12 和 17.x 之前的 17.0.2以及 SeaMonkey 之前的 2.15 允許遠端攻擊者透過涉及 URL 之 userinfo 欄位中驗證資訊的向量並搭配 204 (即無內容) HTTP 狀態程式碼偽造位址列。
 CVE-2013-0762 在 [ 18.0之前的 Mozilla Firefox、 [] 之前的 Firefox ESR 10.x 和 17.x10.0.12 之前的 17.0.1、 [ ] 之前的 Thunderbird、 Thunderbird ESR 10.x17.0.2之前的 10.0.12 和 17.x 中的 imgRequest::OnStopFrame 函式中存在釋放後使用弱點 17.0.1之前的版本及 2.15 之前的 SeaMonkey 允許遠端攻擊者透過不明向量執行任意程式碼或造成拒絕服務 (堆積記憶體損毀)。
 CVE-2013-0766 之前的 Mozilla Firefox、[ 18.0之前的 Firefox ESR 10.x10.0.12 和 17.x 之前的 17.0.1、 [] 之前的 Thunderbird、 17.0.2之前的 Thunderbird 10.x10.0.12 和 17.x [] 之前的 中的 ~nsHTMLEditRules 實作存有釋放後使用弱點 17.0.1與 2.15 之前的 SeaMonkey 允許遠端攻擊者透過不明向量執行任意程式碼或造成拒絕服務 (堆積記憶體損毀)。
 CVE-2013-0767 在 18.0之前的 Mozilla Firefox、[] 之前的 Firefox 10.x10.0.12 和 17.x 之前的 17.0.1[]、之前的 Thunderbird、 17.0.2之前的 Thunderbird 10.x10.0.12 和 17.x 之前的 17.0.1以及 SeaMonkey 中的 nsSVGPathElement::GetPathLengthScale 函式 2.15 之前版本允許遠端攻擊者透過不明向量執行任意程式碼或造成拒絕服務 (超出邊界讀取)。
 CVE-2013-0769 之前的 Mozilla Firefox、 18.0之前的 Firefox ESR 10.x 和 17.x10.0.12 之前的 []、 17.0.1之前的 Thunderbird、 17.0.2之前的 Thunderbird ESR 10.x 和 10.0.12 之前的 [] 以及 17.x17.0.1] 之前的 以及 2.15 之前的 SeaMonkey 允許遠端攻擊者透過未知向量造成拒絕服務 (記憶體損毀及應用程式損毀)或可能執行任意程式碼。

Tenable 已直接從 MiracleLinux 安全性公告擷取前置描述區塊。

請注意,Nessus 並未測試這些問題,而是僅依據應用程式自我報告的版本號碼作出判斷。

解決方案

更新受影響的 firefox 和/或 xulrunner 套件。

另請參閱

https://tsn.miraclelinux.com/en/node/3662

Plugin 詳細資訊

嚴重性: High

ID: 289980

檔案名稱: miracle_linux_AXSA-2013-41.nasl

版本: 1.1

類型: local

已發布: 2026/1/16

已更新: 2026/1/16

支援的感應器: Nessus Agent, Nessus

風險資訊

VPR

風險因素: Critical

分數: 9.4

Vendor

Vendor Severity: High

CVSS v2

風險因素: Critical

基本分數: 10

時間性分數: 8.7

媒介: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

CVSS 評分資料來源: CVE-2013-0767

CVSS v3

風險因素: High

基本分數: 8.8

時間性分數: 8.4

媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

時間媒介: CVSS:3.0/E:H/RL:O/RC:C

CVSS 評分資料來源: CVE-2013-0753

弱點資訊

CPE: p-cpe:/a:miracle:linux:firefox, p-cpe:/a:miracle:linux:xulrunner, cpe:/o:miracle:linux:3

必要的 KB 項目: Host/local_checks_enabled, Host/MiracleLinux/release, Host/MiracleLinux/rpm-list, Host/cpu

可被惡意程式利用: true

可輕鬆利用: Exploits are available

修補程式發佈日期: 2013/1/24

弱點發布日期: 2013/1/8

可惡意利用

Core Impact

參考資訊

CVE: CVE-2013-0744, CVE-2013-0746, CVE-2013-0748, CVE-2013-0750, CVE-2013-0753, CVE-2013-0754, CVE-2013-0758, CVE-2013-0759, CVE-2013-0762, CVE-2013-0766, CVE-2013-0767, CVE-2013-0769