iracleLinux 3firefox-3.6.9-2.0.1.AXS3、nspr-4.8.6-1.AXS3、nss-3.12.7-2.AXS3、xulrunner-1.9.2.9-1.0.1.AXS3 (AXSA:2010 -445:06)
medium Nessus 插件 ID 284240
语言:
简介
远程iraclelinux 主机缺少一个或多个安全更新。描述
远程iraclelinux 3 主机上存在安装的程序包该程序包受到 AXSA:2010-445:06 公告中提及的多个漏洞的影响。Mozilla Firefox 是一款开源 Web 浏览器专门针对标准合规性、性能和可移植性而设计。
NSPR 为非 GUI 操作系统设施提供平台独立性。这些设施包括线程、线程同步、正常文件和网络 I/O、间隔定时和日历时间、基本内存管理malloc 和释放以及共享库链接。
网络安全服务 (NSS) 是一组库,专用于支持启用了安全性的客户端和服务器应用程序的跨平台开发。使用 NSS 构建的应用程序可支持 SSL v2 和 v3、TLS、PKCS #5、PKCS #7、PKCS #11、PKCS #12、S/MIME、X.509 v3 证书及其他安全标准。
XULRunner 为 Gecko 应用程序提供 XUL 运行时环境。
此版本修复的安全问题
在低于 3.5.12 和 3.6.x 之前的 3.6.9的 Mozilla Firefox、低于 3.0.7 和 3.1.x3.1.3之前的 [] 的 Thunderbird 以及低于 2.0.7 的SeaMonkey 中nsTreeSelection 函数存在CVE-2010-2760 释放后使用漏洞可允许远程攻击者通过涉及 XUL 树选择的矢量与悬摆指针漏洞有关。注意:存在此问题的原因是对 CVE-2010-2753 的修复不完整。
CVE-2010-2762 低于 3.6.9 的 Mozilla Firefox 3.6.x 和低于 3.1.3 ] 的 Thunderbird 3.1.x 中 SafeJSObjectWrapper也称为 SJOW实现中的 XPCSafeJSObjectWrapper 类未正确限制范围链末尾的对象这允许远程攻击者通过chrome 权限通过与 chrome 特权对象和以外部对象结束的链相关的矢量实现。
CVE-2010-2764 低于 3.5.12 和 3.6.x 的 3.6.9之前的 Mozilla Firefox、 3.0.7 之前的 Thunderbird 和 3.1.x3.1.3之前的 ] 以及 2.0.7 之前的 SeaMonkey 未正确限制对 XMLHttpRequest 对象 statusText 属性的读取访问这允许远程攻击者发现通过跨源请求确定 Intranet Web 服务器的存在。
低于CVE-2010-27653.5.12 和 3.6.x 的 Mozilla Firefox、低于 3.0.73.6.9] 的Thunderbird 和低于 3.1.x3.1.3的 Thunderbird 以及低于 2.0.7 的SeaMonkey 可能允许远程攻击者通过大量数据包执行任意代码cols又称为 columns属性中的值的错误从而导致基于堆的缓冲区溢出。
CVE-2010-2766 之前的 3.5.12 和 3.6.x 之前的 Mozilla Firefox、 3.6.93.0.7 之前的 Thunderbird 和 3.1.x3.1.3之前的 ] 以及 2.0.7 之前的 SeaMonkey 中的 normalizeDocument 函数未在标准化期间正确处理 DOM 节点的删除这可能允许远程攻击攻击者可通过涉及访问已删除对象的矢量来执行任意代码。
CVE-2010-2767 之前的 3.5.12 和 3.6.x 之前的 Mozilla Firefox、 3.6.9之前的 Thunderbird 和 3.0.73.1.3之前的 3.1.x 以及 2.0.7 之前的 SeaMonkey 未正确处理 DOM 插件数组销毁这可能允许远程攻击者可通过构建的对导航对象的访问权限造成拒绝服务应用程序崩溃或执行任意代码这与悬摆指针漏洞有关。
CVE-2010-2768 低于 3.5.12 的 Mozilla Firefox 和低于 [ 3.6.x ] 的 3.6.9、低于 3.0.7 的Thunderbird 和低于 3.1.x3.1.3的 Thunderbird 以及低于 2.0.7 的 SeaMonkey 未正确限制使用 OBJECT 元素的类型属性设置文档的字符集允许远程攻击者通过 UTF-7 编码绕过跨站脚本 (XSS) 保护机制。
低于 3.5.12 和 3.6.x 的 的 Mozilla Firefox、低于 3.0.73.6.9的 Thunderbird 和低于 3.1.x ] 的 SeaMonkey 以及低于 2.0.73.1.3的SeaMonkey 中的CVE-2010-2769 ] 跨站脚本 (XSS) 漏洞允许用户协助的远程攻击者注入任意 Web 脚本或 HTML,通过添加到启用了 designMode 属性的文档的选项。
低于CVE-2010-3166 的Mozilla Firefox 和低于 3.5.123.6.x 的 Mozilla Firefox、低于 3.0.73.6.9] 的Thunderbird 和低于 3.1.x 的 3.1.3Thunderbird以及低于 2.0.7 的SeaMonkey 可能允许远程攻击者执行任意代码通过双向文本运行的代码。
CVE-2010-3167 低于 [] 的 Mozilla Firefox 和 3.5.123.6.x 之前的 Mozilla Firefox、 3.6.9之前的 Thunderbird 和 3.0.73.1.3之前的 Thunderbird 3.1.x 以及 2.0.7 之前的 SeaMonkey 未正确处理 XUL 树中的节点删除这允许远程攻击者执行通过涉及访问已删除内存的矢量造成的任意代码与悬摆指针漏洞有关。
CVE-2010-3168 低于 3.5.12 和 3.6.x 的Mozilla Firefox 、低于 3.6.9的Mozilla Firefox、低于 3.0.7 的Thunderbird 和低于 3.1.3的 Thunderbird 3.1.x 以及低于 2.0.7 的SeaMonkey 未正确限制触发 XUL 树状结构删除中的属性变更角色这允许远程攻击者通过设置不明属性会造成拒绝服务已删除的内存访问和应用程序崩溃或可能通过设置不明属性执行任意代码。
CVE-2010-3169 低于 3.5.12 的 Mozilla Firefox 和低于 3.6.9] 的 [ 3.6.x 的 Mozilla Firefox、低于 3.0.7 的Thunderbird 和低于 3.1.x3.1.3的 Thunderbird 以及低于 2.0.7 的SeaMonkey允许远程攻击者造成拒绝服务内存损坏和应用程序崩溃或可能通过未知矢量执行任意代码。
Tenable 已直接从MiracleLinux 安全公告中提取上述描述块。
请注意,Nessus 尚未测试这些问题,而是只依据应用程序自我报告的版本号进行判断。
解决方案
更新受影响的 firefox 和/或 xulrunner 程序包。另见
插件详情
严重性: Medium
ID: 284240
文件名: miracle_linux_AXSA-2010-445.nasl
版本: 1.1
类型: local
发布时间: 2026/1/14
最近更新时间: 2026/1/14
支持的传感器: Nessus Agent, Nessus
风险信息
VPR
风险因素: Medium
分数: 5.9
Vendor
Vendor Severity: High
CVSS v2
风险因素: High
基本分数: 9.3
时间分数: 6.9
矢量: CVSS2#AV:N/AC:M/Au:N/C:C/I:C/A:C
CVSS 分数来源: CVE-2010-3169
CVSS v3
风险因素: Medium
基本分数: 6.1
时间分数: 5.3
矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
时间矢量: CVSS:3.0/E:U/RL:O/RC:C
CVSS 分数来源: CVE-2010-2768
漏洞信息
CPE: p-cpe:/a:miracle:linux:firefox, cpe:/o:miracle:linux:3, p-cpe:/a:miracle:linux:xulrunner
必需的 KB 项: Host/local_checks_enabled, Host/MiracleLinux/release, Host/MiracleLinux/rpm-list, Host/cpu
易利用性: No known exploits are available
补丁发布日期: 2010/9/15
漏洞发布日期: 2010/9/7
参考资料信息
CVE: CVE-2010-2760, CVE-2010-2762, CVE-2010-2764, CVE-2010-2765, CVE-2010-2766, CVE-2010-2767, CVE-2010-2768, CVE-2010-2769, CVE-2010-3166, CVE-2010-3167, CVE-2010-3168, CVE-2010-3169