检测

MiracleLinux 3 : firefox-3.6.17-1.0.1.AXS3,xulrunner-1.9.2.17-3.0.1.AXS3 (AXSA:2011-199:03)

high Nessus 插件 ID 284149

语言:

简介

远程 MiracleLinux 主机缺少一个或多个安全更新。

描述

远程 MiracleLinux 3 主机上安装的程序包受到 AXSA:2011-199:03 公告中提及的多个漏洞影响。

Mozilla Firefox 是一个开源 Web 浏览器,旨在满足标准合规性、性能和可移植性要求。
 此版本修复了如下安全问题:
 3.5.19 之前的 CVE-2011-0065 版和 3.6.17 之前的 3.6.x 版 Mozilla Firefox,以及 2.0.14 版之前的 SeaMonkey 中存在释放后使用漏洞,该漏洞允许远程攻击者通过与 OBJECT 的 mChannel 有关的矢量执行任意代码。
 3.5.19 之前的 CVE-2011-0066 版和 3.6.17 之前的 3.6.x 版 Mozilla Firefox,以及 2.0.14 版之前的 SeaMonkey 中存在释放后使用漏洞,该漏洞允许远程攻击者通过与 OBJECT 的 mObserverList 有关的矢量执行任意代码。
 CVE-2011-0067 3.5.19 之前的 Mozilla Firefox 和 3.6.17 之前的 3.6.x 以及 2.0.14 之前的 SeaMonkey 未能正确实现表单的自动完成,这允许远程攻击者通过伪造与自动填写控件交互的 Java 小程序读取表单历史记录条目。
 CVE-2011-0069 在 3.5.19 之前的 Mozilla Firefox 3.5.x、3.6.17 之前的 3.6.x、4.0.1 之前的 4.x;3.1.10 之前的 Thunderbird;以及 2.0.14 之前的 SeaMonkey 中,浏览器引擎中存在不明漏洞,这允许远程攻击者通过未知矢量造成拒绝服务(内存损坏和应用程序崩溃)或可能执行任意代码,此漏洞与 CVE-2011-0070 不同。
 CVE-2011-0070 在 3.5.19 之前的 Mozilla Firefox 3.5.x、3.6.17 之前的 3.6.x、4.0.1 之前的 4.x;3.1.10 之前的 Thunderbird;以及 2.0.14 之前的 SeaMonkey 中,浏览器引擎中存在不明漏洞,这允许远程攻击者通过未知矢量造成拒绝服务(内存损坏和应用程序崩溃)或可能执行任意代码,此漏洞与 CVE-2011-0069 不同。
 CVE-2011-0071 在 Windows 系统中,3.5.19 之前的 Mozilla Firefox、3.6.17 之前的 3.6.x、3.1.10 之前的 Thunderbird 以及 2.0.14 之前的 SeaMonkey 中存在目录遍历漏洞,这允许远程攻击者通过涉及 resource: URL 的矢量确定是否存在任意文件并可能加载资源。
 CVE-2011-0072 在 3.5.19 之前的 Mozilla Firefox 3.5.x、3.6.17 之前的 Mozilla Firefox 3.6.x、3.1.10 之前的 Thunderbird 和 2.0.14 之前的 SeaMonkey 中,浏览器引擎中存在不明漏洞,这允许远程攻击者通过未知矢量造成拒绝服务(内存损坏和应用程序崩溃),或可能执行任意代码,此漏洞与 CVE-2011-0074、CVE-2011-0075、CVE-2011-0077 和 CVE-2011-0078 不同。
 CVE-2011-0073 3.5.19 之前的 Mozilla Firefox、3.6.17 之前的 3.6.x 和 2.0.14 之前的 SeaMonkey 未能正确使用 nsTreeRange 数据结构,这允许远程攻击者通过导致悬摆指针的不明矢量执行任意代码。
 CVE-2011-0074 在 3.5.19 之前的 Mozilla Firefox 3.5.x、3.6.17 之前的 Mozilla Firefox 3.6.x、3.1.10 之前的 Thunderbird 和 2.0.14 之前的 SeaMonkey 中,浏览器引擎中存在不明漏洞,这允许远程攻击者通过未知矢量造成拒绝服务(内存损坏和应用程序崩溃),或可能执行任意代码,此漏洞与 CVE-2011-0072、CVE-2011-0075、CVE-2011-0077 和 CVE-2011-0078 不同。
 CVE-2011-0075 在 3.5.19 之前的 Mozilla Firefox 3.5.x、3.6.17 之前的 Mozilla Firefox 3.6.x、3.1.10 之前的 Thunderbird 和 2.0.14 之前的 SeaMonkey 中,浏览器引擎中存在不明漏洞,这允许远程攻击者通过未知矢量造成拒绝服务(内存损坏和应用程序崩溃),或可能执行任意代码,此漏洞与 CVE-2011-0072、CVE-2011-0074、CVE-2011-0077 和 CVE-2011-0078 不同。
 CVE-2011-0077 在 3.5.19 之前的 Mozilla Firefox 3.5.x、3.6.17 之前的 Mozilla Firefox 3.6.x、3.1.10 之前的 Thunderbird 和 2.0.14 之前的 SeaMonkey 中,浏览器引擎中存在不明漏洞,这允许远程攻击者通过未知矢量造成拒绝服务(内存损坏和应用程序崩溃),或可能执行任意代码,此漏洞与 CVE-2011-0072、CVE-2011-0074、CVE-2011-0075 和 CVE-2011-0078 不同。
 CVE-2011-0078 在 3.5.19 之前的 Mozilla Firefox 3.5.x、3.6.17 之前的 Mozilla Firefox 3.6.x、3.1.10 之前的 Thunderbird 和 2.0.14 之前的 SeaMonkey 中,浏览器引擎中存在不明漏洞,这允许远程攻击者通过未知矢量造成拒绝服务(内存损坏和应用程序崩溃),或可能执行任意代码,此漏洞与 CVE-2011-0072、CVE-2011-0074、CVE-2011-0075 和 CVE-2011-0077 不同。
 CVE-2011-0080 在 3.5.19 之前的 Mozilla Firefox 3.5.x 和 3.6.17 之前的 Mozilla Firefox 3.6.x、3.1.10 之前的 Thunderbird 和 2.0.14 之前的 SeaMonkey 中,浏览器引擎中的多个未指明漏洞允许远程攻击者通过未知矢量造成拒绝服务(内存损坏和应用程序崩溃),或可能执行任意代码。
 CVE-2011-0081 在 3.6.17 之前的 Mozilla Firefox 3.6.x 和 4.0.1 之前的 Mozilla Firefox 4.x 以及 3.1.10 之前的 Thunderbird 3.1.x 中,浏览器引擎中存在不明漏洞,远程攻击者可通过未知矢量造成拒绝服务(内存损坏和应用程序崩溃),或可能执行任意代码。
 CVE-2011-1202 在 10.0.648.127 之前的 Google Chrome 以及其他产品中使用的 libxslt 1.1.26 和更早版本中,functions.c 中的 xsltGenerateIdFunction 函数允许远程攻击者通过包含对 XSLT generate-id XPath 函数的调用的 XML 文档来获取关于堆内存地址的潜在敏感信息。

Tenable 已直接从 MiracleLinux 安全公告中提取上述描述块。

请注意,Nessus 尚未测试这些问题,而是只依据应用程序自我报告的版本号进行判断。

解决方案

更新受影响的 firefox 和/或 xulrunner 程序包。

另见

https://tsn.miraclelinux.com/en/node/1889

插件详情

严重性: High

ID: 284149

文件名: miracle_linux_AXSA-2011-199.nasl

版本: 1.2

类型: local

发布时间: 2026/1/14

最近更新时间: 2026/2/12

支持的传感器: Nessus Agent, Nessus

风险信息

VPR

风险因素: Critical

分数: 9.4

Vendor

Vendor Severity: High

CVSS v2

风险因素: Critical

基本分数: 10

时间分数: 8.7

矢量: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

CVSS 分数来源: CVE-2011-0081

CVSS v3

风险因素: High

基本分数: 8.8

时间分数: 8.4

矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

时间矢量: CVSS:3.0/E:H/RL:O/RC:C

CVSS 分数来源: CVE-2011-0078

漏洞信息

CPE: p-cpe:/a:miracle:linux:firefox, p-cpe:/a:miracle:linux:xulrunner, cpe:/o:miracle:linux:3

必需的 KB 项: Host/local_checks_enabled, Host/cpu, Host/MiracleLinux/release, Host/MiracleLinux/rpm-list

可利用: true

易利用性: Exploits are available

补丁发布日期: 2011/5/20

漏洞发布日期: 2011/3/8

可利用的方式

CANVAS (White_Phosphorus)

Core Impact

Metasploit (Mozilla Firefox 3.6.16 mChannel Use-After-Free Vulnerability)

参考资料信息

CVE: CVE-2011-0065, CVE-2011-0066, CVE-2011-0067, CVE-2011-0069, CVE-2011-0070, CVE-2011-0071, CVE-2011-0072, CVE-2011-0073, CVE-2011-0074, CVE-2011-0075, CVE-2011-0077, CVE-2011-0078, CVE-2011-0080, CVE-2011-0081, CVE-2011-1202