openSUSE 安全更新:seamonkey (openSUSE-SU-2011:0957-1)
critical Nessus 插件 ID 75739
语言:
简介
远程 openSUSE 主机缺少安全更新。描述
Mozilla SeaMonkey 套件已更新到版本 2.3。此更新修复了缺陷和安全问题。已修复了以下安全问题:http://www.mozilla.org/security/announce/2011/mfsa2011-33.html Mozilla Foundation 安全公告 2011-33 (MFSA 2011-33) Mozilla Foundation 安全公告 2011-33
- 多项内存安全危害 (rv:4.0) Mozilla 在 SeaMonkey 2.2 和其他基于 Mozilla 的产品所使用的浏览器引擎中发现并修复了多个内存安全缺陷。这些缺陷中的一部分在特定情况下可导致内存损坏,我们推测只要通过足够的手段,至少能利用其中部分缺陷来运行任意代码。
Aral Yaman 报告了影响 SeaMonkey 2.2 的 WebGL 崩溃。(CVE-2011-2989)
Vivekanand Bolajwar 报告了影响 SeaMonkey 2.2 的 JavaScript 崩溃。(CVE-2011-2991)
Fox-IT 的 Bert Hubert 和 Theo Snelleman 报告了 Ogg 阅读器中影响 SeaMonkey 2.2 的崩溃。
(CVE-2011-2992)
Mozilla 开发人员和社区成员 Robert Kaiser、Jesse Ruderman、moz_bug_r_a4、Mardeg、Gary Kwong、Christoph Diehl、Martijn Wargers、Travis Emmitt、Bob Clary 和 Jonathan Watt 报告了影响 SeaMonkey 2.2 的内存安全问题。(CVE-2011-2985)
- 未签名的脚本可调用已签名 JAR 内的脚本
据 Rafael Gieschke 报告,未签名的 JavaScript 可能调用已签名 JAR 内的脚本,从而继承签署该 JAR 的站点的身份,以及用户已授予这个已签名 JAR 的所有权限。
(CVE-2011-2993)
- 使用 WebGL 着色器导致的字符串崩溃
据 Context IS 的 Michael Jordon 报告,过长的着色器程序可能导致用于存储着色器源代码的字符串类中缓冲区溢出和崩溃。(CVE-2011-2988)
- ANGLE 库中的堆溢出
据 Context IS 的 Michael Jordon 报告,Mozilla 的 WebGL 实现使用的 ANGLE 库中存在可能被利用的堆溢出。(CVE-2011-2987)
- SVGTextElement.getCharNumAtPosition() 中的崩溃
据安全研究人员 regenrecht 通过 TippingPoint 零日计划报告,一个 SVG 文本操纵例程中包含悬摆指针漏洞。(CVE-2011-0084)
- 使用内容安全策略报告导致的凭据泄漏
据 Mike Cardwell 报告,内容安全策略冲突报告未能从请求标头列表中剥离出代理授权凭据。Daniel Veditz 报告重定向到带有内容安全策略的网站会导致在构建的策略中出现主机解析错误。
(CVE-2011-2990)
- 使用画布和 Windows D2D 窃取跨源数据
据 nasalislarvatus3000 报告,使用 Windows D2D 硬件加速时,来自一个域的图像数据可被插入画布中并被其他域读取。(CVE-2011-2986)
解决方案
更新受影响的 seamonkey 程序包。另见
https://www.mozilla.org/en-US/security/advisories/mfsa2011-33/
https://bugzilla.novell.com/show_bug.cgi?id=712224
https://lists.opensuse.org/opensuse-updates/2011-08/msg00039.html
插件详情
严重性: Critical
ID: 75739
文件名: suse_11_3_seamonkey-110819.nasl
版本: 1.8
类型: local
代理: unix
发布时间: 2014/6/13
最近更新时间: 2021/1/14
支持的传感器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Nessus
风险信息
VPR
风险因素: Medium
分数: 5.9
CVSS v2
风险因素: Critical
基本分数: 10
矢量: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C
漏洞信息
CPE: p-cpe:/a:novell:opensuse:seamonkey, p-cpe:/a:novell:opensuse:seamonkey-dom-inspector, p-cpe:/a:novell:opensuse:seamonkey-irc, p-cpe:/a:novell:opensuse:seamonkey-translations-common, p-cpe:/a:novell:opensuse:seamonkey-translations-other, p-cpe:/a:novell:opensuse:seamonkey-venkman, cpe:/o:novell:opensuse:11.3
必需的 KB 项: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list
补丁发布日期: 2011/8/19
参考资料信息
CVE: CVE-2011-0084, CVE-2011-2985, CVE-2011-2986, CVE-2011-2987, CVE-2011-2988, CVE-2011-2989, CVE-2011-2990, CVE-2011-2991, CVE-2011-2992, CVE-2011-2993