SuSE 11 安全性更新:Mozilla (SAT 修補程式編號 1304)

medium Nessus Plugin ID 64209
新推出!Plugin 嚴重性目前使用 CVSS v3

計算 Plugin 嚴重性已更新為預設使用 CVSS v3 沒有 CVSS v3 評分的 Plugin 會回歸到以 CVSS v2 計算嚴重性。您可在設定下拉式選單中切換顯示嚴重性的喜好設定

Synopsis

遠端 SuSE 11 主機缺少一個或多個安全性更新。

描述

Mozilla Thunderbird 已更新至 2.0.0.23 版。

此版本修正了一個安全性問題:MFSA 2009-42 / CVE-2009-2408:
IOActive 安全性研究人員 Dan Kaminsky 報告,在發給伺服器憑證的 SSL 用戶端與憑證授權單位 (CA) 之間存在網域名稱處理方式不相符的情況。特別是,如果惡意使用者要求某一主機名稱的憑證,而該名稱中含有無效的 null 字元,那麼若是要求者擁有在 null 之後指定的網域,大多數 CA 都會發給憑證,而大多數 SSL 用戶端 (瀏覽器) 則會忽略名稱的該部分,並使用 null 前面未經驗證的部分。這會使攻擊者可能取得對他們視為目標的任何網站都可產生效用的憑證。這些憑證可用來攔截及可能更改用戶端與伺服器之間的加密通訊,例如敏感的銀行帳戶交易。此弱點由研究人員 Moxie Marlinspike 獨立報告給我們,他也提到,由於 Firefox 依賴 SSL 來保護安全性更新的完整性,此攻擊可用來提供惡意更新。

解決方案

套用 SAT 修補程式編號 1304。

另請參閱

http://www.mozilla.org/security/announce/2009/mfsa2009-42.html

https://bugzilla.novell.com/show_bug.cgi?id=534782

http://support.novell.com/security/cve/CVE-2009-2408.html

Plugin 詳細資訊

嚴重性: Medium

ID: 64209

檔案名稱: suse_11_MozillaThunderbird-090915.nasl

版本: 1.5

類型: local

代理程式: unix

已發布: 2013/1/25

已更新: 2021/1/14

相依性: ssh_get_info.nasl

風險資訊

VPR

風險因素: Medium

分數: 5.9

CVSS v2

風險因素: Medium

基本分數: 6.8

媒介: AV:N/AC:M/Au:N/C:P/I:P/A:P

弱點資訊

CPE: p-cpe:/a:novell:suse_linux:11:MozillaThunderbird, p-cpe:/a:novell:suse_linux:11:MozillaThunderbird-translations, p-cpe:/a:novell:suse_linux:11:hunspell, cpe:/o:novell:suse_linux:11

必要的 KB 項目: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list

修補程式發佈日期: 2009/9/15

參考資訊

CVE: CVE-2009-2408

CWE: 310