Debian DSA-2572-1:iceape - 多个漏洞

critical Nessus 插件 ID 62805

简介

远程 Debian 主机缺少与安全相关的更新。

描述

在基于 SeaMonkey 的互联网套件 Iceape 中发现多个漏洞:

- CVE-2012-3982 浏览器引擎中存在多个不明的漏洞,可让远程攻击者通过未知的矢量造成拒绝服务(内存损坏和应用程序崩溃),或可能执行任意代码。

- CVE-2012-3986 Icedove 未正确将调用限为 DOMWindowUtils 方法,这可让远程攻击者通过构建的 JavaScript 代码绕过预期访问限制。

- CVE-2012-3990 IME State Manager 实现中存在释放后使用漏洞可让远程攻击者通过与 nsIContent::GetNameSpaceID 函数相关的不明矢量执行任意代码。

- CVE-2012-3991 Icedove 未正确将 JSAPI 访问限制为 GetProperty 函数,这可让远程攻击者通过构建的网站绕过同源策略,并且可能产生其他不明的影响。

- CVE-2012-4179 nsHTMLCSSUtils::CreateCSSPropertyTxn 函数中存在释放后使用漏洞可让远程攻击者通过不明的矢量执行任意代码或造成拒绝服务(堆内存损坏)。

- CVE-2012-4180 nsHTMLEditor::IsPrevCharInNodeWhitespace 函数中存在基于堆的缓冲区溢出,可让远程攻击者通过不明的矢量执行任意代码。

- CVE-2012-4182 nsTextEditRules::WillInsert 函数中存在释放后使用漏洞可让远程攻击者通过不明的矢量执行任意代码或造成拒绝服务(堆内存损坏)。

- CVE-2012-4186 nsWav-eReader::DecodeAudioData 函数中存在基于堆的缓冲区溢出,可让远程攻击者通过不明的矢量执行任意代码。

- CVE-2012-4188 Convolve3x3 函数中存在基于堆的缓冲区溢出,可让远程攻击者通过不明的矢量执行任意代码。

此外,此更新修复了 DSA-2554-1 中发布的针对 CVE-2012-3959 的修补程序中的回归。

解决方案

升级 iceape 程序包。

对于稳定发行版本 (squeeze),已在版本 2.0.11-16 中修复这些问题。

另见

https://security-tracker.debian.org/tracker/CVE-2012-3982

https://security-tracker.debian.org/tracker/CVE-2012-3986

https://security-tracker.debian.org/tracker/CVE-2012-3990

https://security-tracker.debian.org/tracker/CVE-2012-3991

https://security-tracker.debian.org/tracker/CVE-2012-4179

https://security-tracker.debian.org/tracker/CVE-2012-4180

https://security-tracker.debian.org/tracker/CVE-2012-4182

https://security-tracker.debian.org/tracker/CVE-2012-4186

https://security-tracker.debian.org/tracker/CVE-2012-4188

https://security-tracker.debian.org/tracker/CVE-2012-3959

https://packages.debian.org/source/squeeze/iceape

https://www.debian.org/security/2012/dsa-2572

插件详情

严重性: Critical

ID: 62805

文件名: debian_DSA-2572.nasl

版本: 1.14

类型: local

代理: unix

发布时间: 2012/11/5

最近更新时间: 2021/1/11

支持的传感器: Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus

风险信息

VPR

风险因素: Medium

分数: 5.9

CVSS v2

风险因素: Critical

基本分数: 10

时间分数: 7.4

矢量: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

漏洞信息

CPE: p-cpe:/a:debian:debian_linux:iceape, cpe:/o:debian:debian_linux:6.0

必需的 KB 项: Host/local_checks_enabled, Host/Debian/release, Host/Debian/dpkg-l

易利用性: No known exploits are available

补丁发布日期: 2012/11/4

参考资料信息

CVE: CVE-2012-3982, CVE-2012-3986, CVE-2012-3990, CVE-2012-3991, CVE-2012-4179, CVE-2012-4180, CVE-2012-4182, CVE-2012-4186, CVE-2012-4188

BID: 55922, 55924, 55930, 56121, 56123, 56126, 56129, 56131, 56135

DSA: 2572