Scientific Linux 安全性更新：SL3.x、SL4.x i386/x86_64 上的 seamonkey

critical Nessus Plugin ID 60665

語系：

概要

遠端 Scientific Linux 主機缺少一個或多個安全性更新。

說明

CVE-2009-2409 淘汰 SSL 憑證驗證中的 MD2 (Kaminsky)

CVE-2009-2408 firefox/nss：無法正確處理共用名稱中的 NULL

CVE-2009-2654 firefox：URL 列偽造弱點

CVE-2009-3072 Firefox 3.5.3 3.0.14 瀏覽器引擎損毀

CVE-2009-3075 Firefox 3.5.2 3.0.14 JavaScript 引擎損毀

CVE-2009-3076 Firefox 3.0.14 安裝和移除 PKCS11 模組時顯示的警告訊息不足

CVE-2009-3077 Firefox 3.5.3 3.0.14 TreeColumns 懸置指標弱點

處理格式有誤之網頁內容時發現多個瑕疵。包含惡意內容的網站可能會導致 SeaMonkey 當機，或可能利用執行 SeaMonkey 之使用者的權限來執行任意程式碼。(CVE-2009-3072、CVE-2009-3075)

在 SeaMonkey 中發現釋放後使用瑕疵。攻擊者可利用此瑕疵使 SeaMonkey 損毀，亦可能會利用 SeaMonkey 使用者的權限執行任意程式碼。(CVE-2009-3077)

Dan Kaminsky 在 SeaMonkey 等瀏覽器處理憑證內 NULL 字元的方式中發現數個瑕疵。如果攻擊者能夠取得受 SeaMonkey 信任之憑證授權單位簽署的特製憑證，攻擊者可在攔截式攻擊期間利用憑證，並可能誘使 SeaMonkey 錯誤地接受它。(CVE-2009-2408)

新增及移除 PKCS #11 模組時，對話方塊中的說明資訊不足。能誘騙使用者安裝惡意 PKCS #11 模組的攻擊者，可利用此瑕疵於使用者電腦上安裝其自身的憑證授權單位憑證，進而誘騙使用者認為自己正在檢視受信任的網站，或利用 SeaMonkey 使用者的權限執行任意程式碼。(CVE-2009-3076)

當以某種方式呼叫 window.open() 時，在 SeaMonkey 顯示位址列的方式中發現一個瑕疵。攻擊者可利用此瑕疵隱藏惡意 URL，從而可能誘騙使用者相信他們正在檢視受信任的網站。(CVE-2009-2654)

Dan Kaminsky 發現即使不再視 MD2 為密碼編譯的強式演算法，瀏覽器仍可接受具有 MD2 雜湊簽章的憑證。這可讓攻擊者更容易建立受瀏覽器信任的惡意憑證。NSS (由 SeaMonkey 提供) 現在預設停用簽章內 MD2 與 MD4 演算法的使用。
(CVE-2009-2409)

安裝更新後，必須先重新啟動 SeaMonkey，變更才會生效。