检测

Rocky Linux 8:firefox (RLSA-2024:6682)

critical Nessus 插件 ID 207303

语言:

简介

远程 Rocky Linux 主机缺少一个或多个安全更新。

描述

远程 Rocky Linux 8 主机上安装的多个程序包受到 RLSA-2024:6682 公告中提及的多个漏洞影响。

 * firefox:115.15/128.2 ESR ()

 * mozilla:在 with 区块中查找属性名称时会发生类型混淆问题 (CVE-2024-8381)

 * mozilla:当浏览器的 EventHandler 侦听器回调运行时,内部事件接口会暴露给 Web 内容 (CVE-2024-8382)

 * mozilla:Firefox 未在打开外部应用程序中的 news: 链接之前进行询问 (CVE-2024-8383)

 * mozilla:在 OOM 情况下,垃圾收集功能可能会错误标记跨区间对象 (CVE-2024-8384)

 * mozilla:涉及 ArrayTypes 的 WASM 类型混淆 (CVE-2024-8385)

 * mozilla:如果允许弹出窗口,则 SelectElements 可显示在其他站点上 (CVE-2024-8386)

 * mozilla: 已在 Firefox 130、Firefox ESR 128.2 和 Thunderbird 128.2 中修复的内存安全缺陷 (CVE-2024-8387)

 * mozilla:JavaScript Engine 中 Async Generators 的类型混淆问题 (CVE-2024-7652)

Tenable 已直接从 Rocky Linux 安全公告中提取上述描述块。

请注意,Nessus 尚未测试这些问题,而是只依据应用程序自我报告的版本号进行判断。

解决方案

更新受影响的 firefox、firefox-debuginfo 和/或 firefox-debugsource 程序包。

另见

https://errata.rockylinux.org/RLSA-2024:6682

https://bugzilla.redhat.com/show_bug.cgi?id=2307328

https://bugzilla.redhat.com/show_bug.cgi?id=2309427

https://bugzilla.redhat.com/show_bug.cgi?id=2309428

https://bugzilla.redhat.com/show_bug.cgi?id=2309429

https://bugzilla.redhat.com/show_bug.cgi?id=2309430

https://bugzilla.redhat.com/show_bug.cgi?id=2309431

https://bugzilla.redhat.com/show_bug.cgi?id=2309432

https://bugzilla.redhat.com/show_bug.cgi?id=2309433

https://bugzilla.redhat.com/show_bug.cgi?id=2310490

插件详情

严重性: Critical

ID: 207303

文件名: rocky_linux_RLSA-2024-6682.nasl

版本: 1.3

类型: local

发布时间: 2024/9/16

最近更新时间: 2025/2/3

支持的传感器: Continuous Assessment, Nessus Agent, Nessus

风险信息

VPR

风险因素: Medium

分数: 6.7

CVSS v2

风险因素: Critical

基本分数: 10

时间分数: 7.8

矢量: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

CVSS 分数来源: CVE-2024-8387

CVSS v3

风险因素: Critical

基本分数: 9.8

时间分数: 8.8

矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

时间矢量: CVSS:3.0/E:P/RL:O/RC:C

漏洞信息

CPE: p-cpe:/a:rocky:linux:firefox, p-cpe:/a:rocky:linux:firefox-debugsource, p-cpe:/a:rocky:linux:firefox-debuginfo, cpe:/o:rocky:linux:8

必需的 KB 项: Host/local_checks_enabled, Host/RockyLinux/release, Host/RockyLinux/rpm-list, Host/cpu

可利用: true

易利用性: Exploits are available

补丁发布日期: 2024/9/17

漏洞发布日期: 2024/7/9

参考资料信息

CVE: CVE-2024-7652, CVE-2024-8381, CVE-2024-8382, CVE-2024-8383, CVE-2024-8384, CVE-2024-8385, CVE-2024-8386, CVE-2024-8387

IAVA: 2024-A-0538-S