检测

Debian dla-4331webext-https-everywhere - 安全更新

high Nessus 插件 ID 270460

语言:

简介

远程 Debian 主机缺少与安全相关的更新。

描述

远程 Debian 11 主机上安装有受 dla-4331 公告中提及的漏洞影响的程序包。

 -------------------------------------------------- ----------------------- Debian LTS 公告 DLA-4331-1 [email protected] https://www.debian.org/lts/security/Markus Koschany 2025 年 10 月 14 日 https://wiki.debian.org/LTS-------------------------------------------------------------------------

 程序包 https-everywhere 版本 2025.10.14-0+deb11u1 Debian 缺陷1118030 1118045

 Firefox 扩展 HTTPS Anywhere 过去在主要 Web 浏览器中通过 HTTPS 强制执行加密但由于时下内置了仅 HTTPS 模式因此此功能已过时。因此已从 2023 的 Debian 删除 HTTPSEverywhere 。

 此扩展需要使用从域 https-rulesets.org 获取的最新 https 规则。此域不再由原始上游开发人员控制,现在已由第三方注册。请求被重定向至已知恶意软件站点。这为 HTTPSEverywhere 的用户带来了严重的风险。

 解决此问题的第一步是版本 2025.10.14-0+deb11u1 将完全删除与 HTTPSEverywhere 相关的所有文件,并且仅安装 README 文件以提高对此安全问题的认知。Debian 程序包 parl-desktop 和 progress-linux-desktop 将不再依赖于 webext-https-everywhere。

 将在后续步骤中从 Debian 删除源程序包 https-everywhere 和二进制程序包 webext-https-everywhere。

 建议 避免使用 HTTPSEverywhere 并使用 Web 浏览器例如
 Firefox仅支持 HTTPS。有关更多信息请参阅 Debian 缺陷 #1118030 和 #1118045。

 对于 Debian 11 Bullseye已在版本 2025.10.14-0+deb11u1 中修复此问题。

 我们建议您升级 https-everywhere 程序包。

 有关 https-everywhere 的详细安全状态请参阅其安全跟踪页面网址
 https://security-tracker.debian.org/tracker/https-everywhere

 有关 Debian LTS 安全公告、如何将这些更新应用到系统以及常见问题解答的更多信息,请访问以下网址:https://wiki.debian.org/LTSAttachment:signature.ascDescription: 此消息部分已经过数字签署

Tenable 已直接从 Debian 安全公告中提取上述描述块。

请注意,Nessus 尚未测试此问题,而是只依据应用程序自我报告的版本号进行判断。

解决方案

升级 webext-https-everywhere 程序包。

另见

http://www.nessus.org/u?279789a4

https://packages.debian.org/source/bullseye/https-everywhere

插件详情

严重性: High

ID: 270460

文件名: debian_DLA-4331.nasl

版本: 1.1

类型: local

代理: unix

发布时间: 2025/10/15

最近更新时间: 2025/10/15

支持的传感器: Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus

漏洞信息

CPE: cpe:/o:debian:debian_linux:11.0, p-cpe:/a:debian:debian_linux:webext-https-everywhere

必需的 KB 项: Host/local_checks_enabled, Host/Debian/release, Host/Debian/dpkg-l

易利用性: No known exploits are available

补丁发布日期: 2025/10/14

漏洞发布日期: 2025/10/14