Amazon Linux 2：thunderbird (ALAS-2020-1468)

high Nessus 插件 ID 138857

语言：

简介

远程 Amazon Linux 2 主机缺少安全更新。

描述

远程主机上安装的 thunderbird 版本低于 68.9.0-1。因此，该软件受到 ALAS2-2020-1468 公告中提及的多个漏洞影响。

Mozilla 基金会安全公告将此缺陷描述为：

若配置 Thunderbird 为 IMAP 服务器使用 STARTTLS，且服务器发送 PREAUTH 响应，则 Thunderbird 将继续使用未加密的连接，导致电子邮件数据在不受保护的情况下发送。 (CVE-2020-12398)

Mozilla 基金会安全公告将此缺陷描述为：

浏览恶意页面时，SharedWorkerService 中可能发生争用条件，进而导致可能遭到利用的崩溃。 (CVE-2020-12405)

Mozilla 基金会安全公告将此缺陷描述为：

Mozilla 开发人员 Iain Ireland 发现，在删除未装箱对象时缺少类型检查，可导致崩溃。我们推测如果攻击者进行足够的尝试，则可以利用此漏洞运行任意代码。
(CVE-2020-12406)

Mozilla 基金会安全公告将此缺陷描述为：

Mozilla 开发人员报告 Firefox 76 和 Firefox ESR 68.8 中存在内存安全缺陷。其中某些错误展示出内存损坏迹象，我们推测若攻击者付出足够努力，就能利用部分错误运行任意代码。(CVE-2020-12410)

Mozilla 基金会安全公告将此缺陷描述为：

由于混淆 JavaScript 对象上的 ValueTag，对象可能会穿过类型屏障，从而导致内存损坏和潜在可利用的崩溃。 (CVE-2020-12417)

Mozilla 基金会安全公告将此缺陷描述为：

操控 URL 对象个别部分可造成越界读取，进而将进程内存泄露给恶意 JavaScript。 (CVE-2020-12418)

Mozilla 基金会安全公告将此缺陷描述为：

处理在父进程的窗口刷新期间发生的回调时，相关窗口可能会消失；导致发生释放后使用情况。这可能导致内存损坏和潜在的可利用崩溃。(CVE-2020-12419)

Mozilla 基金会安全公告将此缺陷描述为：

尝试连接到 STUN 服务器时，争用条件可能导致指针释放后使用，从而导致内存损坏和潜在可利用的崩溃。 (CVE-2020-12420)

Mozilla 基金会安全公告将此缺陷描述为：

执行附加组件更新时，拒绝在非内置根证书中终止的证书链（即使它们是由管理员合法添加）。这可能导致附加组件在没有通知的情况下静默地过时。用户。 (CVE-2020-12421)

Tenable 已直接从测试产品的安全公告中提取上述描述块。

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。