检测

Oracle Linux 6:firefox (ELSA-2019-3281)

high Nessus 插件 ID 180779

语言:

简介

远程 Oracle Linux 主机缺少一个或多个安全更新。

描述

远程 Oracle Linux 6 主机上安装的程序包受到 ELSA-2019-3281 公告中提及的多个漏洞的影响。

 - 当遵照值的原型链时,可以保留引用到本地、将其删除及后续引用。这会导致释放后使用和可遭恶意利用的潜在崩溃。此漏洞会影响 Firefox < 70、Thunderbird < 68.2 和 Firefox ESR < 68.2。(CVE-2019-11757)

 - Mozilla 社区成员 Philipp 报告,安装 360 Total Security 后,Firefox 68 中存在内存安全错误。此错误表现出辅助功能引擎内存损坏的迹象,我们推测若攻击者有意操控,就能利用此漏洞运行任意代码。此漏洞会影响 Firefox < 69、Thunderbird < 68.2 和 Firefox ESR < 68.2。(CVE-2019-11758)

 - 攻击者可造成超出堆栈存储的缓冲区的末尾写入 4 字节 HMAC 输出。攻击者可利用此漏洞,执行任意代码或造成崩溃。此漏洞会影响 Firefox < 70、Thunderbird < 68.2 和 Firefox ESR < 68.2。(CVE-2019-11759)

 - 在发送 WebRTC 信令时,nrappkit 中存在固定大小的堆栈缓冲区溢出漏洞。在某些实例中,此漏洞会导致潜在可利用的崩溃。此漏洞会影响 Firefox < 70、Thunderbird < 68.2 和 Firefox ESR < 68.2。(CVE-2019-11760)

 - 通过使用带有数据 URI 的表单,可以获取克隆到内容中的特权 JSONView 对象的访问权限。利用此对象造成的影响似乎很小,但可绕过现有深度防御机制。此漏洞会影响 Firefox < 70、Thunderbird < 68.2 和 Firefox ESR < 68.2。(CVE-2019-11761)

 - Mozilla 开发人员和社区成员报告 Firefox 69 与 Firefox ESR 68.1 中存在内存安全错误。其中某些错误表现出内存损坏的迹象,我们推测若攻击者有意操控,就能利用其中某些漏洞运行任意代码。此漏洞会影响 Firefox < 70、Thunderbird < 68.2 和 Firefox ESR < 68.2。(CVE-2019-11764)

 - 如果两个同源文档以不同的方式设置 document.domain,从而成为跨源文档,则这两个文档可能会在现已跨源的窗口中调用任意 DOM method/getter/setter。此漏洞会影响 Firefox < 70、Thunderbird < 68.2 和 Firefox ESR < 68.2。(CVE-2019-11762)

 - 处理 HTML 实体时未正确处理空字节,导致 Firefox 未正确解析这些实体。此漏洞可导致 HTML 注释文本被视为 HTML,进而导致 web 应用程序在某些情况下存在 XSS 漏洞。此外,启用使用实体屏蔽过滤器实际关注的字符这一功能后,此漏洞还可导致 HTML 实体被过滤器屏蔽。
 此漏洞会影响 Firefox < 70、Thunderbird < 68.2 和 Firefox ESR < 68.2。(CVE-2019-11763)

请注意,Nessus 尚未测试这些问题,而是只依据应用程序自我报告的版本号进行判断。

解决方案

更新受影响的 firefox 程序包。

另见

https://linux.oracle.com/errata/ELSA-2019-3281.html

插件详情

严重性: High

ID: 180779

文件名: oraclelinux_ELSA-2019-3281.nasl

版本: 1.0

类型: local

代理: unix

发布时间: 2023/9/7

最近更新时间: 2023/9/7

支持的传感器: Frictionless Assessment Agent, Nessus Agent, Nessus

风险信息

VPR

风险因素: Medium

分数: 6.7

CVSS v2

风险因素: Medium

基本分数: 6.8

时间分数: 5.3

矢量: CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P

CVSS 分数来源: CVE-2019-11764

CVSS v3

风险因素: High

基本分数: 8.8

时间分数: 7.9

矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

时间矢量: CVSS:3.0/E:P/RL:O/RC:C

漏洞信息

CPE: cpe:/o:oracle:linux:6, p-cpe:/a:oracle:linux:firefox

必需的 KB 项: Host/OracleLinux, Host/RedHat/release, Host/RedHat/rpm-list, Host/local_checks_enabled

可利用: true

易利用性: Exploits are available

补丁发布日期: 2020/7/7

漏洞发布日期: 2019/10/22

参考资料信息

CVE: CVE-2019-11757, CVE-2019-11758, CVE-2019-11759, CVE-2019-11760, CVE-2019-11761, CVE-2019-11762, CVE-2019-11763, CVE-2019-11764

IAVA: 2019-A-0395-S