远程 Debian 11 主机上安装的多个程序包受到 dsa-5350 公告中提及的多个漏洞影响。

  - 攻击者可以通过错误处理的 PKCS 12 Safe Bag 属性，以允许进行任意内存写入的方式构建 PKCS 12 证书捆绑包。(CVE-2023-0767)

  - 当与 iframe 交互触发重定向时，<code>Content-Security-Policy-Report-Only</code> 标头可允许攻击者泄漏子 iframe 的未编辑 URI。(CVE-2023-25728)

  - 仅对 <code>ContentPrincipals</code> 显示打开外部方案的权限提示，导致扩展无需用户通过 <code>ExpandedPrincipals</code> 打开。这可导致进一步的恶意操作，例如下载文件或与系统上已安装的软件交互。 (CVE-2023-25729)

  - 调用 <code>requestFullscreen</code> 然后阻断主线程的后台脚本可强制浏览器无限期进入全屏模式，从而可能导致用户混淆或欺骗攻击。
    (CVE-2023-25730)

  - 当对 <code>xpcom</code> 中的 <code>inputStream</code> 数据进行编码时，未正确计算被编码输入的大小，这可能导致越界内存写入。
    (CVE-2023-25732)

  - 包装脚本化代理的跨隔离舱封装程序可导致将其他隔离舱中的对象存储在主隔离舱中，从而导致解包代理后发生释放后使用。
    (CVE-2023-25735)

  - 从 <code>nsTextNode</code> 到 <code>SVGElement</code> 的无效向下转换可导致未定义的行为。 (CVE-2023-25737)

  - 未检查失败的模块加载请求是否已取消，从而导致 <code>ScriptLoadContext</code> 中发生释放后使用。(CVE-2023-25739)

  - 将 SPKI RSA 公钥导入为 ECDSA P-256 时，可能未正确处理密钥，导致选项卡崩溃。 (CVE-2023-25742)

  - Mozilla 开发人员 Kershaw Chang 及 Mozilla Fuzzing 团队报告 Firefox 109 与 Firefox ESR 102.7 中存在内存安全错误。其中某些错误展示出内存损坏迹象，我们推测若攻击者付出足够努力，就能利用部分错误运行任意代码。(CVE-2023-25744)

  - Mozilla 开发人员 Philipp 和 Gabriele Svelto 报告 Thunderbird 102.7 中存在内存安全错误。
    其中某些错误展示出内存损坏迹象，我们推测若攻击者付出足够努力，就能利用部分错误运行任意代码。(CVE-2023-25746)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

检测

Debian DSA-5350-1：firefox-esr - 安全更新

high Nessus 插件 ID 171572

版本 1.3

版本 1.2

版本 1.1

版本 1.0

版本 1.3 Sep 4, 2023, 4:15 PM CVSS metrics ("CVSSv2 score" changed from 7.5 to 10.0. "CVSSv3 score" changed from 9.8 to 8.8. "CVSSv3 vector" changed from "CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H" to "CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H". "CVSSv2 vector" changed from "CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P" to "CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C") CVSSv3 score source (set to "CVE-2023-25746") Plugin Feed: 202309041615
版本 1.2 Mar 16, 2023, 4:17 PM IAVM reference Plugin Feed: 202303161617
版本 1.1 Feb 17, 2023, 10:07 PM IAVM reference STIG Severity (set to "I") Plugin Feed: 202302172207
版本 1.0 Feb 17, 2023, 1:59 AM New Plugin Feed: 202302170159