偵測

Scientific Linux 安全性更新:SL4.x、SL5.x i386/x86_64 上的 firefox

high Nessus Plugin ID 60849

語系:

概要

遠端 Scientific Linux 主機缺少一個或多個安全性更新。

說明

處理格式有誤之網頁內容時發現多個瑕疵。包含惡意內容的網頁可造成 Firefox 損毀,或可能利用執行 Firefox 之使用者的權限來執行任意程式碼。(CVE-2010-3169、CVE-2010-2762)

在 Firefox 中發現數個釋放後使用瑕疵和懸置指標瑕疵。包含惡意內容的網頁可造成 Firefox 損毀,或可能利用執行 Firefox 之使用者的權限來執行任意程式碼。(CVE-2010-2760、CVE-2010-2766、CVE-2010-2767、CVE-2010-3167、CVE-2010-3168)

在 Firefox 中發現多個緩衝區溢位瑕疵。包含惡意內容的網頁可造成 Firefox 損毀,或可能利用執行 Firefox 之使用者的權限來執行任意程式碼。(CVE-2010-2765、CVE-2010-3166)

在 Firefox 中發現多個跨網站指令碼 (XSS) 瑕疵。包含惡意內容的網頁可導致 Firefox 利用其他網站的權限來執行 JavaScript 程式碼。
(CVE-2010-2768、CVE-2010-2769)

在 Firefox XMLHttpRequest 物件中發現一個瑕疵。遠端站台可利用此瑕疵來收集有關內部私用網路伺服器的資訊。(CVE-2010-2764)

注意:在安裝此更新後,如果伺服器的暫時金鑰太小,Firefox 將無法利用 SSL DHE (Diffie-Hellman Ephemeral) 金鑰交換連線 (具有 HTTPS) 至伺服器。連線至此類伺服器會造成安全性風險,因為太小的暫時金鑰會讓 SSL 連線容易受到攻擊。

如果您遇到 Firefox 無法連接暫時金鑰過小的伺服器之情形,可以嘗試在 Firefox 中停用所有 DHE 加密套件,然後以不同的金鑰交換演算法使用加密套件進行連接:

1) 在 URL 列中輸入 about:config,然後按下 Enter 鍵。2) 在 [篩選] 搜尋列中輸入 ssl3.dhe 3) 針對目前顯示的所有喜好設定,在 true 值上按滑鼠兩下,將值變更為 false。4) 此變更會影響所有 HTTPS 伺服器的連線。

安裝更新之後,Firefox 必須重新啟動,變更才會生效。

解決方案

更新受影響的套件。

另請參閱

http://www.nessus.org/u?01ab4cad

Plugin 詳細資訊

嚴重性: High

ID: 60849

檔案名稱: sl_20100907_firefox_on_SL4_x.nasl

版本: 1.6

類型: local

代理程式: unix

已發布: 2012/8/1

已更新: 2021/1/14

支援的感應器: Nessus Agent, Nessus

風險資訊

VPR

風險因素: Medium

分數: 5.9

CVSS v2

風險因素: High

基本分數: 9.3

媒介: CVSS2#AV:N/AC:M/Au:N/C:C/I:C/A:C

弱點資訊

CPE: x-cpe:/o:fermilab:scientific_linux

必要的 KB 項目: Host/local_checks_enabled, Host/cpu, Host/RedHat/release, Host/RedHat/rpm-list

修補程式發佈日期: 2010/9/7

弱點發布日期: 2010/9/9

參考資訊

CVE: CVE-2010-2760, CVE-2010-2762, CVE-2010-2764, CVE-2010-2765, CVE-2010-2766, CVE-2010-2767, CVE-2010-2768, CVE-2010-2769, CVE-2010-3166, CVE-2010-3167, CVE-2010-3168, CVE-2010-3169