偵測

Mandriva Linux 安全性公告:mozilla-thunderbird (MDVSA-2011:142)

critical Nessus Plugin ID 61930

語系:

概要

遠端 Mandriva Linux 主機缺少一或多個安全性更新。

說明

在 mozilla firefox 和 thunderbird 中發現安全性問題,且已修正:

3.6.23 版之前及 4.x 至 6 版的 Mozilla Firefox、 7.0 版之前的 Thunderbird 以及 2.4 版之前的 SeaMonkey 都無法阻止當按住 Enter 鍵時回應的啟動下載,導致使用者協助的遠端攻擊者利用特製的網站來繞過預定的存取限制 (CVE-2011-2372)。

3.6.23 版之前及 4.x 到 6 版的 Mozilla Firefox、 7.0 版之前的 Thunderbird 以及 2.4 版之前的 SeaMonkey 等瀏覽器引擎中存在多個不明弱點,允許遠端攻擊者造成拒絕服務 (記憶體損毀及應用程式損毀),或可能透過不明向量執行任意程式碼 (CVE-2011-2995)。

Mozilla Firefox 6、7.0 版之前的 Thunderbird、以及 2.4 版之前的 SeaMonkey 等瀏覽器引擎中存在多個不明弱點,允許遠端攻擊者造成拒絕服務 (記憶體損毀及應用程式損毀),或可能透過不明向量執行任意程式碼 (CVE-2011-2997)。

3.6.23 版之前及 4.x 至 6 版的 Mozilla Firefox、 7.0 版之前的 Thunderbird 以及 2.4 版之前的 SeaMonkey 都未正確處理包含多個 Location、Content-Length 或 Content-Disposition 標頭的 HTTP 回應,會讓遠端攻擊者更容易利用特製的標頭值來發動 HTTP 回應分割攻擊 (CVE-2011-3000)。

4.x 至 6 版的 Mozilla Firefox、7.0 版之前的 Thunderbird 以及 2.4 版之前的 SeaMonkey 都無法阻止當按住 Enter 鍵時回應的手動附加元件安裝,這會讓使用者協助的遠端攻擊者利用特製的網站來觸發不明的內部錯誤,而繞過預定的存取限制 (CVE-2011-3001)。

4.x 到 6 版的 Mozilla Firefox、7.0 版之前的 Thunderbird 以及 2.4 版之前的 SeaMonkey 中存在釋放後使用弱點,允許遠端攻擊者透過 .ogg 檔案中特製的 OGG 標頭引發拒絕服務 (應用程式損毀),或可能執行任意程式碼 (CVE-2011-3005)。

7.0 版之前的 Mozilla Firefox、7.0 版之前的 Thunderbird、以及 2.4 版之前的 SeaMonkey 所使用的 YARR 允許遠端攻擊者透過特製的 JavaScript 引發拒絕服務 (應用程式損毀),或可能執行任意程式碼 (CVE-2011-3232)。

解決方案

更新受影響的套件。

另請參閱

http://www.mozilla.org/security/announce/2011/mfsa2011-36.html

http://www.mozilla.org/security/announce/2011/mfsa2011-39.html

http://www.mozilla.org/security/announce/2011/mfsa2011-40.html

http://www.mozilla.org/security/announce/2011/mfsa2011-42.html

http://www.mozilla.org/security/announce/2011/mfsa2011-44.html

Plugin 詳細資訊

嚴重性: Critical

ID: 61930

檔案名稱: mandriva_MDVSA-2011-142.nasl

版本: 1.8

類型: local

已發布: 2012/9/6

已更新: 2021/1/6

支援的感應器: Nessus

風險資訊

VPR

風險因素: Medium

分數: 5.9

CVSS v2

風險因素: Critical

基本分數: 10

時間分數: 8.7

媒介: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

弱點資訊

CPE: p-cpe:/a:mandriva:linux:mozilla-thunderbird, p-cpe:/a:mandriva:linux:mozilla-thunderbird-ar, p-cpe:/a:mandriva:linux:mozilla-thunderbird-ca, p-cpe:/a:mandriva:linux:mozilla-thunderbird-cs, p-cpe:/a:mandriva:linux:mozilla-thunderbird-da, p-cpe:/a:mandriva:linux:mozilla-thunderbird-de, p-cpe:/a:mandriva:linux:mozilla-thunderbird-en_gb, p-cpe:/a:mandriva:linux:mozilla-thunderbird-enigmail, p-cpe:/a:mandriva:linux:mozilla-thunderbird-enigmail-ar, p-cpe:/a:mandriva:linux:mozilla-thunderbird-enigmail-ca, p-cpe:/a:mandriva:linux:mozilla-thunderbird-enigmail-cs, p-cpe:/a:mandriva:linux:mozilla-thunderbird-enigmail-de, p-cpe:/a:mandriva:linux:mozilla-thunderbird-enigmail-el, p-cpe:/a:mandriva:linux:mozilla-thunderbird-enigmail-es, p-cpe:/a:mandriva:linux:mozilla-thunderbird-enigmail-fi, p-cpe:/a:mandriva:linux:mozilla-thunderbird-enigmail-fr, p-cpe:/a:mandriva:linux:mozilla-thunderbird-enigmail-it, p-cpe:/a:mandriva:linux:mozilla-thunderbird-enigmail-ja, p-cpe:/a:mandriva:linux:mozilla-thunderbird-enigmail-ko, p-cpe:/a:mandriva:linux:mozilla-thunderbird-enigmail-nb, p-cpe:/a:mandriva:linux:mozilla-thunderbird-enigmail-nl, p-cpe:/a:mandriva:linux:mozilla-thunderbird-enigmail-pl, p-cpe:/a:mandriva:linux:mozilla-thunderbird-enigmail-pt, p-cpe:/a:mandriva:linux:mozilla-thunderbird-enigmail-pt_br, p-cpe:/a:mandriva:linux:mozilla-thunderbird-enigmail-ru, p-cpe:/a:mandriva:linux:mozilla-thunderbird-enigmail-sl, p-cpe:/a:mandriva:linux:mozilla-thunderbird-enigmail-sv, p-cpe:/a:mandriva:linux:mozilla-thunderbird-enigmail-tr, p-cpe:/a:mandriva:linux:mozilla-thunderbird-enigmail-vi, p-cpe:/a:mandriva:linux:mozilla-thunderbird-enigmail-zh_cn, p-cpe:/a:mandriva:linux:mozilla-thunderbird-enigmail-zh_tw, p-cpe:/a:mandriva:linux:mozilla-thunderbird-es_ar, p-cpe:/a:mandriva:linux:mozilla-thunderbird-es_es, p-cpe:/a:mandriva:linux:mozilla-thunderbird-et, p-cpe:/a:mandriva:linux:mozilla-thunderbird-eu, p-cpe:/a:mandriva:linux:mozilla-thunderbird-fi, p-cpe:/a:mandriva:linux:mozilla-thunderbird-fr, p-cpe:/a:mandriva:linux:mozilla-thunderbird-fy, p-cpe:/a:mandriva:linux:mozilla-thunderbird-ga, p-cpe:/a:mandriva:linux:mozilla-thunderbird-pt_pt, p-cpe:/a:mandriva:linux:mozilla-thunderbird-ru, p-cpe:/a:mandriva:linux:mozilla-thunderbird-si, p-cpe:/a:mandriva:linux:mozilla-thunderbird-sk, p-cpe:/a:mandriva:linux:mozilla-thunderbird-sl, p-cpe:/a:mandriva:linux:mozilla-thunderbird-sq, p-cpe:/a:mandriva:linux:mozilla-thunderbird-sv_se, p-cpe:/a:mandriva:linux:mozilla-thunderbird-tr, p-cpe:/a:mandriva:linux:mozilla-thunderbird-uk, p-cpe:/a:mandriva:linux:mozilla-thunderbird-zh_tw, p-cpe:/a:mandriva:linux:nsinstall, cpe:/o:mandriva:linux:2011, p-cpe:/a:mandriva:linux:mozilla-thunderbird-gd, p-cpe:/a:mandriva:linux:mozilla-thunderbird-gl, p-cpe:/a:mandriva:linux:mozilla-thunderbird-he, p-cpe:/a:mandriva:linux:mozilla-thunderbird-hu, p-cpe:/a:mandriva:linux:mozilla-thunderbird-is, p-cpe:/a:mandriva:linux:mozilla-thunderbird-it, p-cpe:/a:mandriva:linux:mozilla-thunderbird-ja, p-cpe:/a:mandriva:linux:mozilla-thunderbird-ko, p-cpe:/a:mandriva:linux:mozilla-thunderbird-lightning, p-cpe:/a:mandriva:linux:mozilla-thunderbird-lt, p-cpe:/a:mandriva:linux:mozilla-thunderbird-nb_no, p-cpe:/a:mandriva:linux:mozilla-thunderbird-nl, p-cpe:/a:mandriva:linux:mozilla-thunderbird-nn_no, p-cpe:/a:mandriva:linux:mozilla-thunderbird-pl, p-cpe:/a:mandriva:linux:mozilla-thunderbird-pt_br

必要的 KB 項目: Host/local_checks_enabled, Host/cpu, Host/Mandrake/release, Host/Mandrake/rpm-list

可輕鬆利用: No known exploits are available

修補程式發佈日期: 2011/10/1

參考資訊

CVE: CVE-2011-2372, CVE-2011-2995, CVE-2011-2997, CVE-2011-3000, CVE-2011-3001, CVE-2011-3005, CVE-2011-3232

BID: 49808, 49812, 49837, 49850

MDVSA: 2011:142