检测

Amazon Linux 2:firefox (ALASFIREFOX-2024-026)

critical Nessus 插件 ID 202228

语言:

简介

远程 Amazon Linux 2 主机缺少安全更新。

描述

远程主机上安装的 Firefox 版本低于 115.12.0-1。因此,它受到 ALAS2FIREFOX-2024-026 公告中提及的多个漏洞影响。

 RESERVEDNOTE:https://www.mozilla.org/en-US/security/advisories/mfsa2022-30/#CVE-2022-2205 (CVE-2022-2205)

 攻击者可能已将 CSS 注入可通过内部 URI 访问的样式表例如(如 resource:),从而绕过页面的内容安全策略。此漏洞会影响 Firefox ESR < 91.11、Thunderbird < 102、Thunderbird < 91.11 和 Firefox < 101。(CVE-2022-31744)

 在 Mozilla 中发现一个缺陷。Mozilla 基金会安全公告将此问题描述为:从本地文件系统打开 Windows 快捷方式时,攻击者可提供会导致操作系统发出意外网络请求的远程路径。(CVE-2022-36314)

 访问 URL 过长的网站时,用户界面会挂起。由于会话还原,这可能导致程序永久拒绝服务。<br>*此错误仅影响 Android 版 Firefox。
 其他操作系统不受影响。* 此漏洞会影响 Firefox < 103。(CVE-2022-36317)

 RESERVEDNOTE:https://www.mozilla.org/en-US/security/advisories/mfsa2022-30/#CVE-2022-36320(CVE-2022-36320)

 如果在正确的时间触发垃圾回收,则对象移植期间可能会发生释放后使用。该漏洞影响 Firefox < 127 和 Firefox ESR < 115.12。(CVE-2024-5688)

 通过使用 `X-Frame-Options` 标头欺骗浏览器,沙盒 iframe 可以展示一个按钮,在用户点击后绕过限制以打开新窗口。该漏洞影响 Firefox < 127 和 Firefox ESR < 115.12。(CVE-2024-5691)

 Offscreen Canvas 未正确跟踪跨源污染,攻击者可在违反同源策略的情况下利用它来访问其他站点的图像数据。此漏洞会影响 Firefox < 127、Firefox ESR < 115.12 和 Thunderbird < 115.12。(CVE-2024-5693)

 Firefox 126、Firefox ESR 115.11 和 Thunderbird 115.11 中的内存安全缺陷。其中某些错误展示出内存损坏迹象,我们推测如果攻击者进行足够的尝试,则可以利用此漏洞运行任意代码。该漏洞影响 Firefox < 127 和 Firefox ESR < 115.12。
 (CVE-2024-5700)

 网络堆栈中的内存损坏可能导致潜在的可利用崩溃。此漏洞会影响 Firefox < 125 和 Firefox ESR < 115.12。(CVE-2024-5702)

Tenable 已直接从测试产品的安全公告中提取上述描述块。

请注意,Nessus 尚未测试这些问题,而是只依据应用程序自我报告的版本号进行判断。

解决方案

运行“yum update firefox”以更新系统。

另见

https://alas.aws.amazon.com/AL2/ALASFIREFOX-2024-026.html

https://alas.aws.amazon.com/cve/html/CVE-2022-2205.html

https://alas.aws.amazon.com/cve/html/CVE-2022-31744.html

https://alas.aws.amazon.com/cve/html/CVE-2022-36314.html

https://alas.aws.amazon.com/cve/html/CVE-2022-36317.html

https://alas.aws.amazon.com/cve/html/CVE-2022-36320.html

https://alas.aws.amazon.com/cve/html/CVE-2024-5688.html

https://alas.aws.amazon.com/cve/html/CVE-2024-5691.html

https://alas.aws.amazon.com/cve/html/CVE-2024-5693.html

https://alas.aws.amazon.com/cve/html/CVE-2024-5700.html

https://alas.aws.amazon.com/cve/html/CVE-2024-5702.html

https://alas.aws.amazon.com/faqs.html

插件详情

严重性: Critical

ID: 202228

文件名: al2_ALASFIREFOX-2024-026.nasl

版本: 1.3

类型: local

代理: unix

发布时间: 2024/7/11

最近更新时间: 2025/4/7

支持的传感器: Frictionless Assessment AWS, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus

风险信息

VPR

风险因素: Medium

分数: 6.7

CVSS v2

风险因素: Critical

基本分数: 10

时间分数: 7.8

矢量: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

CVSS 分数来源: CVE-2022-36320

CVSS v3

风险因素: Critical

基本分数: 9.8

时间分数: 8.8

矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

时间矢量: CVSS:3.0/E:P/RL:O/RC:C

漏洞信息

CPE: p-cpe:/a:amazon:linux:firefox, cpe:/o:amazon:linux:2, p-cpe:/a:amazon:linux:firefox-debuginfo

必需的 KB 项: Host/local_checks_enabled, Host/AmazonLinux/release, Host/AmazonLinux/rpm-list

可利用: true

易利用性: Exploits are available

补丁发布日期: 2024/7/3

漏洞发布日期: 2022/6/2

参考资料信息

CVE: CVE-2022-2205, CVE-2022-31744, CVE-2022-36314, CVE-2022-36317, CVE-2022-36320, CVE-2024-5688, CVE-2024-5691, CVE-2024-5693, CVE-2024-5700, CVE-2024-5702

IAVA: 2022-A-0226-S, 2022-A-0256-S, 2022-A-0298-S, 2024-A-0335-S