Rocky Linux 8firefox (RLSA-2021:3755)

critical Nessus 插件 ID 157783

语言：

简介

远程 Rocky Linux 主机缺少一个或多个安全更新。

描述

远程 Rocky Linux 8 主机上存在安装的程序包该程序包受到公告 RLSA-2021:3755 中提及的多个漏洞的影响。

- crossbeam-deque 是工作窃取双端队列程序包，用于在 Rust 中编程时构建任务计划程序。在 0.7.4 和 0.8.0 之前的版本中，争用条件的结果是工作队列中的一个或多个任务可以弹出两次，而不是弹出其他被遗忘且从未弹出的任务。如果在堆上分配任务，此漏洞可造成双重释放和内存泄漏。如果没有出现这些问题，此漏洞仍会导致逻辑错误。使用“Stealer::steal”、“Stealer::steal_batch”或“Stealer::steal_batch_and_pop”的板条箱会受到此问题的影响。此问题已在 crossbeam-deque 0.8.1 和 0.7.4 中修复。(CVE-2021-32810)

- 在 MessageTasks 上操作期间，任务可能还在计划阶段就被删除，这将造成内存损坏并可能引发被恶意利用的崩溃问题。此漏洞会影响 Thunderbird < 78.15、Thunderbird < 91.2、Firefox ESR < 91.2、Firefox ESR < 78.15 以及 Firefox < 93。(CVE-2021-38496)

- 通过使用 reportValidity() 和 window.open()，可将纯文本验证消息覆盖在其他原始数据上，因此可能造成用户混淆和伪造攻击。此漏洞会影响版本低于 91.2 的 Firefox ESR、版本低于 93 的 Firefox 和版本低于 91.2 的 Thunderbird。(CVE-2021-38497)

- 在进程关闭期间，特定文档可导致语言服务对象释放后使用，进而造成内存损坏和潜在可利用的崩溃。此漏洞会影响版本低于 91.2 的 Firefox ESR、版本低于 93 的 Firefox 和版本低于 91.2 的 Thunderbird。(CVE-2021-38498)

- Mozilla 开发人员报告 Firefox 92 和 Firefox ESR 91.1 中存在内存安全错误。其中某些错误展示出内存损坏迹象，我们推测如果攻击者进行足够的尝试，则可以利用此漏洞运行任意代码。此漏洞会影响 Thunderbird < 78.15、Thunderbird < 91.2、Firefox ESR < 91.2、Firefox ESR < 78.15 以及 Firefox < 93。(CVE-2021-38500)

- Mozilla 开发人员报告 Firefox 92 和 Firefox ESR 91.1 中存在内存安全错误。其中某些错误展示出内存损坏迹象，我们推测如果攻击者进行足够的尝试，则可以利用此漏洞运行任意代码。此漏洞会影响版本低于 91.2 的 Firefox ESR、版本低于 93 的 Firefox 和版本低于 91.2 的 Thunderbird。(CVE-2021-38501)

请注意，Nessus 尚未测试此问题，而是只依据应用程序自我报告的版本号进行判断。