Debian DSA-5582-1:thunderbird - 安全更新
high Nessus 插件 ID 187195
语言:
简介
远程 Debian 主机上缺少一个或多个与安全性相关的更新。描述
远程 Debian 11/12 主机上安装的多个程序包受到 dsa-5582 公告中提及的多个漏洞影响。- 数字签名的 S/MIME 电子邮件消息的签名可以选择指定签名创建日期和时间。如果存在,Thunderbird 不会将签名创建日期与消息日期和时间进行比较,并显示有效签名,尽管日期或时间不匹配。这可用于给收件人留下消息是在不同日期或时间发送的印象。此漏洞影响 Thunderbird < 115.6。(CVE-2023-50761)
- 处理包含数字签名文本的 PGP/MIME 负载时,文本的第一段不会向用户显示。这是因为文本被解释为 MIME 消息,并且第一段始终被视为电子邮件标头部分。来自不同上下文的数字签名文本(例如签名的 GIT 提交)可用于欺骗电子邮件。此漏洞影响 Thunderbird < 115.6。(CVE-2023-50762)
- 在具有 Mesa VM 驱动程序的系统上使用时,WebGL“DrawElementsInstanced”方法容易受到堆缓冲区溢出的影响。此问题可能会让攻击者执行远程代码执行和沙盒逃逸。该漏洞影响 Firefox ESR < 115.6、Thunderbird < 115.6 和 Firefox < 121。
(CVE-2023-6856)
- 解析符号链接时,可能会发生竞争,其中传递给“readlink”的缓冲区实际上可能小于所需的大小。*此错误仅影响基于 Unix 操作系统(Android、Linux、MacOS)上的 Firefox。
Windows 受到影响。*该漏洞影响 Firefox ESR < 115.6、Thunderbird < 115.6 和 Firefox < 121。(CVE-2023-6857)
- 由于 OOM 处理不足,Firefox 在“nsTextFragment”中容易受到堆缓冲区溢出的影响。
该漏洞影响 Firefox ESR < 115.6、Thunderbird < 115.6 和 Firefox < 121。(CVE-2023-6858)
- 在内存压力下,释放后使用条件会影响 TLS 套接字的创建。该漏洞影响 Firefox ESR < 115.6、Thunderbird < 115.6 和 Firefox < 121。(CVE-2023-6859)
-“VideoBridge”允许任何内容处理使用远程解码器生成的纹理。这可能会被滥用来逃逸沙盒。该漏洞影响 Firefox ESR < 115.6、Thunderbird < 115.6 和 Firefox < 121。(CVE-2023-6860)
-“nsWindow: : PickerOpen(void)”方法在无头模式下运行时,容易受到堆缓冲区溢出的影响。该漏洞影响 Firefox ESR < 115.6、Thunderbird < 115.6 和 Firefox < 121。
(CVE-2023-6861)
- 在“nsDNSService:Init”中发现了一个: 释放后使用。此问题在启动期间似乎很少出现。此漏洞会影响 Firefox ESR < 115.6 和 Thunderbird < 115.6。(CVE-2023-6862)
- 在 Firefox 120、Firefox ESR 115.5 和 Thunderbird 115.5 中修复了内存安全缺陷。其中某些错误展示出内存损坏迹象,我们推测如果攻击者进行足够的尝试,则可以利用此漏洞运行任意代码。该漏洞影响 Firefox ESR < 115.6、Thunderbird < 115.6 和 Firefox < 121。(CVE-2023-6864)
- 在 Firefox 120 中修复了内存安全缺陷。其中某些错误展示出内存损坏迹象,我们推测如果攻击者进行足够的尝试,则可以利用此漏洞运行任意代码。此漏洞会影响 Firefox < 121。(CVE-2023-6873)
请注意,Nessus 尚未测试这些问题,而是只依据应用程序自我报告的版本号进行判断。
解决方案
升级 thunderbird 程序包。对于稳定发行版本 (bookworm),已在版本 1 中修复这些问题
另见
https://security-tracker.debian.org/tracker/source-package/thunderbird
https://www.debian.org/security/2023/dsa-5582
https://security-tracker.debian.org/tracker/CVE-2023-50761
https://security-tracker.debian.org/tracker/CVE-2023-50762
https://security-tracker.debian.org/tracker/CVE-2023-6856
https://security-tracker.debian.org/tracker/CVE-2023-6857
https://security-tracker.debian.org/tracker/CVE-2023-6858
https://security-tracker.debian.org/tracker/CVE-2023-6859
https://security-tracker.debian.org/tracker/CVE-2023-6860
https://security-tracker.debian.org/tracker/CVE-2023-6861
https://security-tracker.debian.org/tracker/CVE-2023-6862
https://security-tracker.debian.org/tracker/CVE-2023-6864
https://security-tracker.debian.org/tracker/CVE-2023-6873
插件详情
严重性: High
ID: 187195
文件名: debian_DSA-5582.nasl
版本: 1.4
类型: local
代理: unix
发布时间: 2023/12/21
最近更新时间: 2024/1/26
支持的传感器: Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus
风险信息
VPR
风险因素: Medium
分数: 6.7
CVSS v2
风险因素: Critical
基本分数: 10
时间分数: 7.4
矢量: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C
CVSS 分数来源: CVE-2023-6873
CVSS v3
风险因素: High
基本分数: 8.8
时间分数: 7.7
矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
时间矢量: CVSS:3.0/E:U/RL:O/RC:C
漏洞信息
CPE: p-cpe:/a:debian:debian_linux:thunderbird, p-cpe:/a:debian:debian_linux:thunderbird-l10n-af, p-cpe:/a:debian:debian_linux:thunderbird-l10n-all, p-cpe:/a:debian:debian_linux:thunderbird-l10n-ar, p-cpe:/a:debian:debian_linux:thunderbird-l10n-ast, p-cpe:/a:debian:debian_linux:thunderbird-l10n-be, p-cpe:/a:debian:debian_linux:thunderbird-l10n-bg, p-cpe:/a:debian:debian_linux:thunderbird-l10n-br, p-cpe:/a:debian:debian_linux:thunderbird-l10n-ca, p-cpe:/a:debian:debian_linux:thunderbird-l10n-cak, p-cpe:/a:debian:debian_linux:thunderbird-l10n-cs, p-cpe:/a:debian:debian_linux:thunderbird-l10n-cy, p-cpe:/a:debian:debian_linux:thunderbird-l10n-da, p-cpe:/a:debian:debian_linux:thunderbird-l10n-de, p-cpe:/a:debian:debian_linux:thunderbird-l10n-dsb, p-cpe:/a:debian:debian_linux:thunderbird-l10n-el, p-cpe:/a:debian:debian_linux:thunderbird-l10n-en-ca, p-cpe:/a:debian:debian_linux:thunderbird-l10n-en-gb, p-cpe:/a:debian:debian_linux:thunderbird-l10n-es-ar, p-cpe:/a:debian:debian_linux:thunderbird-l10n-es-es, p-cpe:/a:debian:debian_linux:thunderbird-l10n-es-mx, p-cpe:/a:debian:debian_linux:thunderbird-l10n-et, p-cpe:/a:debian:debian_linux:thunderbird-l10n-eu, p-cpe:/a:debian:debian_linux:thunderbird-l10n-fi, p-cpe:/a:debian:debian_linux:thunderbird-l10n-fr, p-cpe:/a:debian:debian_linux:thunderbird-l10n-fy-nl, p-cpe:/a:debian:debian_linux:thunderbird-l10n-ga-ie, p-cpe:/a:debian:debian_linux:thunderbird-l10n-gd, p-cpe:/a:debian:debian_linux:thunderbird-l10n-gl, p-cpe:/a:debian:debian_linux:thunderbird-l10n-he, p-cpe:/a:debian:debian_linux:thunderbird-l10n-hr, p-cpe:/a:debian:debian_linux:thunderbird-l10n-hsb, p-cpe:/a:debian:debian_linux:thunderbird-l10n-hu, p-cpe:/a:debian:debian_linux:thunderbird-l10n-hy-am, p-cpe:/a:debian:debian_linux:thunderbird-l10n-id, p-cpe:/a:debian:debian_linux:thunderbird-l10n-is, p-cpe:/a:debian:debian_linux:thunderbird-l10n-it, p-cpe:/a:debian:debian_linux:thunderbird-l10n-ja, p-cpe:/a:debian:debian_linux:thunderbird-l10n-ka, p-cpe:/a:debian:debian_linux:thunderbird-l10n-kab, p-cpe:/a:debian:debian_linux:thunderbird-l10n-kk, p-cpe:/a:debian:debian_linux:thunderbird-l10n-ko, p-cpe:/a:debian:debian_linux:thunderbird-l10n-lt, p-cpe:/a:debian:debian_linux:thunderbird-l10n-lv, p-cpe:/a:debian:debian_linux:thunderbird-l10n-ms, p-cpe:/a:debian:debian_linux:thunderbird-l10n-nb-no, p-cpe:/a:debian:debian_linux:thunderbird-l10n-nl, p-cpe:/a:debian:debian_linux:thunderbird-l10n-nn-no, p-cpe:/a:debian:debian_linux:thunderbird-l10n-pa-in, p-cpe:/a:debian:debian_linux:thunderbird-l10n-pl, p-cpe:/a:debian:debian_linux:thunderbird-l10n-pt-br, p-cpe:/a:debian:debian_linux:thunderbird-l10n-pt-pt, p-cpe:/a:debian:debian_linux:thunderbird-l10n-rm, p-cpe:/a:debian:debian_linux:thunderbird-l10n-ro, p-cpe:/a:debian:debian_linux:thunderbird-l10n-ru, p-cpe:/a:debian:debian_linux:thunderbird-l10n-sk, p-cpe:/a:debian:debian_linux:thunderbird-l10n-sl, p-cpe:/a:debian:debian_linux:thunderbird-l10n-sq, p-cpe:/a:debian:debian_linux:thunderbird-l10n-sr, p-cpe:/a:debian:debian_linux:thunderbird-l10n-sv-se, p-cpe:/a:debian:debian_linux:thunderbird-l10n-th, p-cpe:/a:debian:debian_linux:thunderbird-l10n-tr, p-cpe:/a:debian:debian_linux:thunderbird-l10n-uk, p-cpe:/a:debian:debian_linux:thunderbird-l10n-uz, p-cpe:/a:debian:debian_linux:thunderbird-l10n-vi, p-cpe:/a:debian:debian_linux:thunderbird-l10n-zh-cn, p-cpe:/a:debian:debian_linux:thunderbird-l10n-zh-tw, cpe:/o:debian:debian_linux:11.0, cpe:/o:debian:debian_linux:12.0
必需的 KB 项: Host/local_checks_enabled, Host/Debian/release, Host/Debian/dpkg-l
易利用性: No known exploits are available
补丁发布日期: 2023/12/21
漏洞发布日期: 2023/12/18
参考资料信息
CVE: CVE-2023-50761, CVE-2023-50762, CVE-2023-6856, CVE-2023-6857, CVE-2023-6858, CVE-2023-6859, CVE-2023-6860, CVE-2023-6861, CVE-2023-6862, CVE-2023-6864, CVE-2023-6873
IAVA: 2023-A-0702-S