Debian DSA-5060-1:webkit2gtk - 安全更新
high Nessus 插件 ID 157260
语言:
简介
远程 Debian 主机上缺少一个或多个与安全性相关的更新。描述
远程 Debian 10/11 主机上安装的程序包受到 dsa-5060 公告中提及的多个漏洞影响。- 已通过改进的内存处理解决缓冲溢出问题。此问题已在 tvOS 15.2、macOS Monterey 12.1、Safari 15.2、iOS 15.2 和 iPadOS 15.2、watchOS 8.3 中修复。- 处理恶意构建的 Web 内容可能会导致任意代码执行。(CVE-2021-30934)
- 已通过改进的内存管理解决释放后使用问题。This issue is fixed in tvOS 15.2, macOS Monterey 12.1, Safari 15.2, iOS 15.2 and iPadOS 15.2, watchOS 8.3. - 处理恶意构建的 Web 内容可能会导致任意代码执行。(CVE-2021-30936、CVE-2021-30951)
- 已通过改进输入验证解决整数溢出问题。This issue is fixed in tvOS 15.2, macOS Monterey 12.1, Safari 15.2, iOS 15.2 and iPadOS 15.2, watchOS 8.3. - 处理恶意构建的 Web 内容可能会导致任意代码执行。(CVE-2021-30952)
- 已通过改进的边界检查解决越界写入问题。This issue is fixed in tvOS 15.2, macOS Monterey 12.1, Safari 15.2, iOS 15.2 and iPadOS 15.2, watchOS 8.3. - 处理恶意构建的 Web 内容可能会导致任意代码执行。(CVE-2021-30953)
- 已通过改进的内存处理解决类型混淆问题。This issue is fixed in tvOS 15.2, macOS Monterey 12.1, Safari 15.2, iOS 15.2 and iPadOS 15.2, watchOS 8.3. - 处理恶意构建的 Web 内容可能会导致任意代码执行。(CVE-2021-30954)
- 已通过改进状态处理解决争用情形。This issue is fixed in tvOS 15.2, macOS Monterey 12.1, Safari 15.2, iOS 15.2 and iPadOS 15.2, watchOS 8.3. - 处理恶意构建的 Web 内容可能会导致任意代码执行。(CVE-2021-30984)
请注意,Nessus 尚未测试此问题,而是只依靠应用程序自我报告的版本号来判断。
解决方案
升级 webkit2gtk 程序包。对于稳定发行版本 (bullseye),这些问题已在 2.34.4-1~deb11u1 版本中解决。
另见
https://security-tracker.debian.org/tracker/source-package/webkit2gtk
https://www.debian.org/security/2022/dsa-5060
https://security-tracker.debian.org/tracker/CVE-2021-30934
https://security-tracker.debian.org/tracker/CVE-2021-30936
https://security-tracker.debian.org/tracker/CVE-2021-30951
https://security-tracker.debian.org/tracker/CVE-2021-30952
https://security-tracker.debian.org/tracker/CVE-2021-30953
https://security-tracker.debian.org/tracker/CVE-2021-30954
https://security-tracker.debian.org/tracker/CVE-2021-30984
插件详情
严重性: High
ID: 157260
文件名: debian_DSA-5060.nasl
版本: 1.3
类型: local
代理: unix
发布时间: 2022/1/31
最近更新时间: 2022/5/6
支持的传感器: Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus
风险信息
VPR
风险因素: Medium
分数: 5.9
CVSS v2
风险因素: High
基本分数: 9.3
时间分数: 6.9
矢量: CVSS2#AV:N/AC:M/Au:N/C:C/I:C/A:C
CVSS 分数来源: CVE-2021-30954
CVSS v3
风险因素: High
基本分数: 8.8
时间分数: 7.7
矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
时间矢量: CVSS:3.0/E:U/RL:O/RC:C
CVSS 分数来源: CVE-2021-30953
漏洞信息
CPE: p-cpe:/a:debian:debian_linux:gir1.2-javascriptcoregtk-4.0, p-cpe:/a:debian:debian_linux:gir1.2-webkit2-4.0, p-cpe:/a:debian:debian_linux:libjavascriptcoregtk-4.0-18, p-cpe:/a:debian:debian_linux:libjavascriptcoregtk-4.0-bin, p-cpe:/a:debian:debian_linux:libjavascriptcoregtk-4.0-dev, p-cpe:/a:debian:debian_linux:libwebkit2gtk-4.0-37, p-cpe:/a:debian:debian_linux:libwebkit2gtk-4.0-dev, p-cpe:/a:debian:debian_linux:libwebkit2gtk-4.0-doc, p-cpe:/a:debian:debian_linux:webkit2gtk-driver, cpe:/o:debian:debian_linux:10.0, cpe:/o:debian:debian_linux:11.0
必需的 KB 项: Host/local_checks_enabled, Host/Debian/release, Host/Debian/dpkg-l
易利用性: No known exploits are available
补丁发布日期: 2022/1/25
漏洞发布日期: 2021/8/24
参考资料信息
CVE: CVE-2021-30934, CVE-2021-30936, CVE-2021-30951, CVE-2021-30952, CVE-2021-30953, CVE-2021-30954, CVE-2021-30984
IAVA: 2021-A-0577-S