MagicLinux 3firefox-3.6.11-2.0.1.AXS3 nss-3.12.8-1.AXS3; xulrunner-1.9.2.11-2.0.1.AXS3 (AXSA:2010-476:07)
medium Nessus 插件 ID 284364
语言:
简介
远程iraclelinux 主机缺少一个或多个安全更新。描述
远程 MagicLinux 3 主机上存在安装的程序包该程序包受到 AXSA:2010-476:07 公告中提及的多个漏洞的影响。Mozilla Firefox 是一款开源 Web 浏览器专门针对标准合规性、性能和可移植性而设计。
网络安全服务 (NSS) 是一组库,专用于支持启用了安全性的客户端和服务器应用程序的跨平台开发。使用 NSS 构建的应用程序可支持 SSL v2 和 v3、TLS、PKCS #5、PKCS #7、PKCS #11、PKCS #12、S/MIME、X.509 v3 证书及其他安全标准。
XULRunner 为 Gecko 应用程序提供 XUL 运行时环境。
此版本修复的安全问题
CVE-2010-3170 低于 3.5.14 和 3.6.x 的Mozilla Firefox、低于 3.6.11的Thunderbird 和低于 3.1.5[] 的 3.0.9 的 3.1.x Thunderbird以及低于 2.0.9 的 SeaMonkey 在 X.509 证书主题的公用名字段中识别通配符 IP 地址这可能导致允许中间人攻击者通过构建的由合法证书颁发机构颁发的证书欺骗任意 SSL 服务器。
CVE-2010-3173 之前的 3.5.14 和 3.6.x 之前的 3.6.11] 的 Mozilla Firefox、 3.0.9 之前的 Thunderbird 和 3.1.x ] 之前的 3.1.5以及 2.0.9 之前的 SeaMonkey 中的 SSL 实现未正确设置 Diffie-Hellman Ephemeral 的最小密钥长度 (DHE)模式下远程攻击者更容易通过蛮力攻击来破解加密保护机制。
CVE-2010-3175 低于 3.6.11 的 Mozilla Firefox 3.6.x 和低于 [] 的 Thunderbird 3.1.x3.1.5 中浏览器引擎中的多种不明漏洞允许远程攻击者通过未知矢量造成拒绝服务内存损坏和应用程序崩溃或执行任意代码。
CVE-2010-3176 在低于 3.5.14 的 Mozilla Firefox 3.5.x 和低于 3.6.x3.6.11] 的 、低于 3.0.9 的Thunderbird 和低于 [] 的 3.1.53.1.x 以及低于 2.0.9 的 SeaMonkey 中浏览器引擎的多种不明漏洞允许远程攻击者造成拒绝服务内存损坏和应用程序崩溃或可能通过未知矢量执行任意代码。
CVE-2010-3177 在 3.5.14 之前的 Mozilla Firefox 和 3.6.x 之前的 3.6.11之前的 Mozilla Firefox 以及 2.0.9之前的 SeaMonkey 中Gopher 解析器中的多个跨站脚本 (XSS) 漏洞允许远程攻击者通过构建的Gopher 服务器上的 (1) 文件或 (2) 目录。
CVE-2010-3178 低于 3.5.14 和 3.6.x 之前的 3.6.11的 Mozilla Firefox、 3.0.9 之前的 Thunderbird 和 3.1.x3.1.5之前的 Thunderbird 以及 2.0.9 之前的 SeaMonkey 未正确处理 javascript: URL 在与打开新窗口相关的情况下进行的某些模式调用以及执行跨域导航这将允许远程攻击者通过特别构建的 HTML 文档绕过同源策略。
低于CVE-2010-3179 的Mozilla Firefox 和低于 [ 3.5.14 的 3.6.x3.6.11的Mozilla Firefox、低于 3.0.9 的Thunderbird 和低于 3.1.x3.1.5的 SeaMonkey 以及低于 2.0.9 的SeaMonkey 中的文本渲染功能存在基于堆栈的缓冲区溢出允许远程攻击者执行任意代码或通过 document.write 方法的长参数造成拒绝服务内存损坏和应用程序崩溃。
低于CVE-2010-31803.5.14 和 3.6.x 之前的 3.6.11的 Mozilla Firefox、低于 3.0.9 的Thunderbird 和低于 3.1.x3.1.5] 的SeaMonkey 以及低于 2.0.9 [] 的 SeaMonkey 中的 nsBarProp 函数存在 释放后使用漏洞允许远程攻击者通过访问已关闭窗口的 locationbar 属性。
CVE-2010-3182 Linux 中低于 3.5.14 和 3.6.x 的Mozilla Firefox、低于 3.0.93.6.11的 Thunderbird 和 3.1.x [] 之前的 以及 2.0.93.1.5之前的 SeaMonkey 中的某个应用程序启动脚本在 LD_LIBRARY_PATH 中放置零长度目录名称。它可允许本地用户通过当前工作目录中的特洛伊木马共享库获取权限。
CVE-2010-3183 之前的 3.5.14 和 3.6.x 之前的 Mozilla Firefox、 3.6.11之前的 Thunderbird 3.0.9 和 3.1.x [] 之前的 以及 3.1.5之前的 SeaMonkey 中的 2.0.9 LookupGetterOrSetter 函数未正确支持缺少参数的 window.__lookupGetter__ 函数调用这允许远程攻击攻击者可通过构建的 HTML 文档执行任意代码或造成拒绝服务不正确的指针取消引用和应用程序崩溃。
Tenable 已直接从MiracleLinux 安全公告中提取上述描述块。
请注意,Nessus 尚未测试这些问题,而是只依据应用程序自我报告的版本号进行判断。
解决方案
更新受影响的 firefox 和/或 xulrunner 程序包。另见
插件详情
严重性: Medium
ID: 284364
文件名: miracle_linux_AXSA-2010-476.nasl
版本: 1.1
类型: local
发布时间: 2026/1/14
最近更新时间: 2026/1/14
支持的传感器: Nessus Agent, Nessus
风险信息
VPR
风险因素: Medium
分数: 6.7
Vendor
Vendor Severity: High
CVSS v2
风险因素: High
基本分数: 9.3
时间分数: 7.3
矢量: CVSS2#AV:N/AC:M/Au:N/C:C/I:C/A:C
CVSS 分数来源: CVE-2010-3183
CVSS v3
风险因素: Medium
基本分数: 6.1
时间分数: 5.5
矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
时间矢量: CVSS:3.0/E:P/RL:O/RC:C
CVSS 分数来源: CVE-2010-3177
漏洞信息
CPE: p-cpe:/a:miracle:linux:firefox, p-cpe:/a:miracle:linux:xulrunner, cpe:/o:miracle:linux:3
必需的 KB 项: Host/local_checks_enabled, Host/cpu, Host/MiracleLinux/release, Host/MiracleLinux/rpm-list
可利用: true
易利用性: Exploits are available
补丁发布日期: 2010/10/28
漏洞发布日期: 2010/8/27
参考资料信息
CVE: CVE-2010-3170, CVE-2010-3173, CVE-2010-3175, CVE-2010-3176, CVE-2010-3177, CVE-2010-3178, CVE-2010-3179, CVE-2010-3180, CVE-2010-3182, CVE-2010-3183