Amazon Linux 2:firefox (ALASFIREFOX-2023-012)
high Nessus 插件 ID 182051
语言:
简介
远程 Amazon Linux 2 主机缺少安全更新。描述
远程主机上安装的 Firefox 版本低于 91.13.0-1。因此,它受到 ALAS2FIREFOX-2023-012 公告中提及的多个漏洞影响。- Mozilla 开发人员和 Mozilla Fuzzing 团队报告 Firefox 102 中存在内存安全错误。其中某些错误展示出内存损坏迹象,我们推测如果攻击者进行足够的尝试,则可以利用此漏洞运行任意代码。此漏洞会影响 Firefox ESR < 102.1、Firefox < 103 和 Thunderbird < 102.1。(CVE-2022-2505)
- 当访问以 `chrome: //` URL 作为源文本的目录列表时,会反映部分参数。此漏洞会影响 Firefox ESR < 102.1、Firefox ESR < 91.12、Firefox < 103、Thunderbird < 102.1 和 Thunderbird < 91.12。(CVE-2022-36318)
- 合并溢出和转换的 CSS 属性时,与鼠标光标交互的坐标可能与显示的坐标不同。此漏洞会影响 Firefox ESR < 102.1、Firefox ESR < 91.12、Firefox < 103、Thunderbird < 102.1 和 Thunderbird < 91.12。(CVE-2022-36319)
- 攻击者可能已滥用 XSLT 错误处理,将攻击者控制的内容与地址栏中显示的其他来源相关联。这可能被用来诱骗用户提交用于受欺骗的源的数据。此漏洞会影响 Thunderbird < 102.2、Thunderbird < 91.13、Firefox ESR < 91.13、Firefox ESR < 102.2 以及 Firefox < 104。(CVE-2022-38472)
- 引用 XSLT 文档的跨源 iframe 会继承父域的权限(例如麦克风或摄像头访问权限)。此漏洞会影响 Thunderbird < 102.2、Thunderbird < 91.13、Firefox ESR < 91.13、Firefox ESR < 102.2 以及 Firefox < 104。(CVE-2022-38473)
- <code>PK11_ChangePW</code> 函数中可能发生数据争用,从而可能导致释放后使用漏洞。在 Firefox 中,此锁可在用户更改主密码时保护数据。
此漏洞会影响 Firefox ESR < 102.2 和 Thunderbird < 102.2。(CVE-2022-38476)
- Mozilla 开发人员 Nika Layzell 及 Mozilla Fuzzing 团队报告 Firefox 103 与 Firefox ESR 102.1 中存在内存安全错误。其中某些错误展示出内存损坏迹象,我们推测如果攻击者进行足够的尝试,则可以利用此漏洞运行任意代码。此漏洞会影响 Firefox ESR < 102.2、Thunderbird < 102.2 和 Firefox < 104。(CVE-2022-38477)
- Mozilla Fuzzing 团队成员报告 Firefox 103、Firefox ESR 102.1 与 Firefox ESR 91.12 中存在内存安全错误。其中某些错误展示出内存损坏迹象,我们推测如果攻击者进行足够的尝试,则可以利用此漏洞运行任意代码。此漏洞会影响 Thunderbird < 102.2、Thunderbird < 91.13、Firefox ESR < 91.13、Firefox ESR < 102.2 以及 Firefox < 104。
(CVE-2022-38478)
请注意,Nessus 尚未测试这些问题,而是只依据应用程序自我报告的版本号进行判断。
解决方案
运行“yum update firefox”以更新系统。另见
https://alas.aws.amazon.com/cve/html/CVE-2022-38477.html
https://alas.aws.amazon.com/cve/html/CVE-2022-38478.html
https://alas.aws.amazon.com/faqs.html
https://alas.aws.amazon.com/AL2/ALASFIREFOX-2023-012.html
https://alas.aws.amazon.com/cve/html/CVE-2022-2505.html
https://alas.aws.amazon.com/cve/html/CVE-2022-36318.html
https://alas.aws.amazon.com/cve/html/CVE-2022-36319.html
https://alas.aws.amazon.com/cve/html/CVE-2022-38472.html
插件详情
严重性: High
ID: 182051
文件名: al2_ALASFIREFOX-2023-012.nasl
版本: 1.1
类型: local
代理: unix
发布时间: 2023/9/27
最近更新时间: 2023/10/2
支持的传感器: Frictionless Assessment AWS, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus
风险信息
VPR
风险因素: Medium
分数: 6.7
CVSS v2
风险因素: Critical
基本分数: 10
时间分数: 7.4
矢量: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C
CVSS 分数来源: CVE-2022-38478
CVSS v3
风险因素: High
基本分数: 8.8
时间分数: 7.7
矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
时间矢量: CVSS:3.0/E:U/RL:O/RC:C
漏洞信息
CPE: p-cpe:/a:amazon:linux:firefox, p-cpe:/a:amazon:linux:firefox-debuginfo, cpe:/o:amazon:linux:2
必需的 KB 项: Host/local_checks_enabled, Host/AmazonLinux/release, Host/AmazonLinux/rpm-list
易利用性: No known exploits are available
补丁发布日期: 2023/8/21
漏洞发布日期: 2022/7/28
参考资料信息
CVE: CVE-2022-2505, CVE-2022-36318, CVE-2022-36319, CVE-2022-38472, CVE-2022-38473, CVE-2022-38476, CVE-2022-38477, CVE-2022-38478
IAVA: 2022-A-0298-S