偵測

MiracleLinux 9firefox-102.14.0-1.el9.ML.1 (AXSA:2023-6315:28)

critical Nessus Plugin ID 292475

語言:

概要

遠端 MiracleLinux 主機缺少一個或多個安全性更新。

說明

遠端 MiracleLinux 9 主機已安裝受到 AXSA:2023-6315:28 公告中所提及的多個弱點影響的套件。

 MozillaOffscreen Canvas 可能繞過跨來源限制 (CVE-2023-4045) Mozilla在 WASM 編譯期間使用不正確的值 (CVE-2023-4046) Mozilla透過點擊劫持的潛在權限要求繞過 (CVE-2023-4047) MozillaDOMParser 中因超出限製而當機記憶體情形 (CVE-2023-4048) Mozilla修正釋放平台物件時可能發生的爭用情形 (CVE-2023-4049) MozillaStorageManager 中的堆疊緩衝區溢位 (CVE-2023-4050) Mozilla已修正 Firefox 116、Firefox ESR 115.1、Firefox ESR 102.14中的記憶體安全性錯誤、Thunderbird 115.1和 Thunderbird 102.14 (CVE-2023-4056) Mozilla已在 Firefox 116、Firefox ESR 115.1和 Thunderbird 115.1 ] 中修正記憶體安全性錯誤 (CVE-2023-4057) MozillaCookie jar 溢位造成非預期的 Cookie jar 狀態 (CVE-2023-4055) CVE(s)
 CVE-2023-4045 Offscreen Canvas 未正確追踪跨來源污染其可用來違反同源原則從其他網站存取影像資料。此弱點會影響 Firefox < 116、Firefox ESR < 102.14和 Firefox ESR < 115.1。
 CVE-2023-4046 在某些情況下過時值可用於 WASM JIT 分析中的全域變數。這會造成編譯錯誤,並可能導致內容處理程序發生可遭利用的當機問題。此弱點會影響 Firefox < 116、Firefox ESR < 102.14和 Firefox ESR < 115.1。
 CVE-2023-4047 快顯通知延遲計算中的錯誤可讓攻擊者誘騙使用者授予權限。此弱點會影響 Firefox < 116、Firefox ESR < 102.14和 Firefox ESR < 115.1。
 CVE-2023-4048 超出邊界讀取問題可導致在記憶體不足的情況下以 DOMParser 剖析 HTML 時遭到惡意利用而當機。此弱點會影響 Firefox < 116、Firefox ESR < 102.14和 Firefox ESR < 115.1。
 CVE-2023-4049 在程式碼檢查過程中發現參照計數程式碼中有爭用情形。這些問題可導致可能遭利用的釋放後使用弱點。此弱點會影響 Firefox < 116、Firefox ESR < 102.14和 Firefox ESR < 115.1。
 CVE-2023-4050 在某些情況下未檢查其大小便將未受信任的輸入資料流複製到堆疊緩衝區。這可造成程式損毀問題,攻擊者可藉此導致沙箱逸出。此弱點會影響 Firefox < 116、Firefox ESR < 102.14和 Firefox ESR < 115.1。
 CVE-2023-4055 `document.cookie` 超過每個網域的 cookie 數量時傳送至主機的實際 cookie jar 不再與預期的 cookie jar 狀態一致。這可造成傳送要求時遺漏某些 Cookie。此弱點會影響 Firefox < 116、Firefox ESR < 102.14和 Firefox ESR < 115.1。
 CVE-2023-4056 Firefox 115、Firefox ESR 115.0、Firefox ESR 102.13、Thunderbird 115.0和 Thunderbird 102.13中存在記憶體安全性錯誤。某些錯誤顯示記憶體會遭到損毀,我們推測若有心人士有意操控,可能惡意利用其中部分錯誤執行任意程式碼。此弱點會影響 Firefox < 116、Firefox ESR < 102.14和 Firefox ESR < 115.1。
 CVE-2023-4057 Firefox 115、Firefox ESR 115.0和 Thunderbird 115.0中存在記憶體安全性錯誤。某些錯誤顯示記憶體會遭到損毀,我們推測若有心人士有意操控,可能惡意利用其中部分錯誤執行任意程式碼。此弱點會影響 Firefox < 116、Firefox ESR < 115.1 和 Thunderbird < 115.1。

Tenable 已直接從 MiracleLinux 安全性公告擷取前置描述區塊。

請注意,Nessus 並未測試這些問題,而是僅依據應用程式自我報告的版本號碼作出判斷。

解決方案

更新受影響的 firefox 和/或 firefox-x11 套件。

另請參閱

https://tsn.miraclelinux.com/en/node/17499

Plugin 詳細資訊

嚴重性: Critical

ID: 292475

檔案名稱: miracle_linux_AXSA-2023-6315.nasl

版本: 1.1

類型: local

已發布: 2026/1/20

已更新: 2026/1/20

支援的感應器: Nessus Agent, Nessus

風險資訊

VPR

風險因素: Medium

分數: 5.9

Vendor

Vendor Severity: High

CVSS v2

風險因素: Critical

基本分數: 10

時間性分數: 7.4

媒介: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

CVSS 評分資料來源: CVE-2023-4057

CVSS v3

風險因素: Critical

基本分數: 9.8

時間性分數: 8.5

媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

時間媒介: CVSS:3.0/E:U/RL:O/RC:C

弱點資訊

CPE: cpe:/o:miracle:linux:9, p-cpe:/a:miracle:linux:firefox-x11, p-cpe:/a:miracle:linux:firefox

必要的 KB 項目: Host/local_checks_enabled, Host/cpu, Host/MiracleLinux/release, Host/MiracleLinux/rpm-list

可輕鬆利用: No known exploits are available

修補程式發佈日期: 2023/8/9

弱點發布日期: 2023/8/1

參考資訊

CVE: CVE-2023-4045, CVE-2023-4046, CVE-2023-4047, CVE-2023-4048, CVE-2023-4049, CVE-2023-4050, CVE-2023-4055, CVE-2023-4056, CVE-2023-4057