检测

iracleLinux 4firefox-3.6.24-3.0.1.AXS4、xulrunner-1.9.2.24-2.1.0.1.AXS4 (AXSA:2012-81:01)

medium Nessus 插件 ID 284447

语言:

简介

远程iraclelinux 主机缺少一个或多个安全更新。

描述

远程MiracleLinux 4 主机上存在安装的程序包该程序包受到 AXSA:2012-81:01 公告中提及的多个漏洞的影响。

 Mozilla Firefox 是一款开源 Web 浏览器专门针对标准合规性、性能和可移植性而设计。
 此版本修复的安全问题
 CVE-2011-2372 之前的 Mozilla Firefox 和 4.x3.6.23 至6、 7.0之前的 Thunderbird 以及 2.4 之前的 SeaMonkey 不会阻止在按住 Enter 键时开始下载这允许受用户协助的远程攻击者绕过通过构建的网站进行的预期访问限制。
 CVE-2011-2995 在 3.6.23 和 4.x 至 6 之前的 Mozilla Firefox、 7.0之前的 Thunderbird 以及 2.4 之前的 SeaMonkey 中浏览器引擎中的多种不明漏洞允许远程攻击者造成拒绝服务内存损坏和应用程序崩溃或可能执行通过未知矢量造成的任意代码。
 CVE-2011-2998 之前版本的 Mozilla Firefox 3.6.x 中的 3.6.23 整数下溢允许远程攻击者通过包含大型 RegExp 表达式的 JavaScript 代码造成拒绝服务应用程序崩溃或可能执行任意代码。
 CVE-2011-29993.6.23 和 4.x 至 5 之前的 Mozilla Firefox、 6.0之前的 Thunderbird 以及 2.3 之前的 SeaMonkey 未正确将位置处理为框架的名称从而允许远程攻击者通过构建的网站绕过同源策略该漏洞与 CVE-2010-0170不同。
 CVE-2011-3000 之前的 3.6.23 和 4.x 至 6 的 Mozilla Firefox、 7.0之前的 Thunderbird 以及 2.4 之前的 SeaMonkey 未正确处理包含多种 Location、Content-Length 或 Content-Disposition 标头的 HTTP 响应这使得远程攻击者可更容易地从攻击者通过构建的标头值来执行 HTTP 响应拆分攻击。
 CVE-2011-3647 调用附加组件中的 loadSubScript 方法期间 3.6.24 之前的 Mozilla Firefox 和 3.1.6 之前的 Thunderbird 中的 JSSubScriptLoader JSSubScriptLoader 未正确处理 XPCNativeWrappers这使远程攻击者更容易通过构建利用特定权限的网站获取权限解包行为这是与 CVE-2011-3004相关的问题。
 CVE-2011-3648 和 3.6.24 至 4.x 之前的 Mozilla Firefox 以及 7.0 ] 和 3.1.6 至 7.05.0 之前的 Thunderbird 中的跨站脚本 (XSS) 漏洞允许远程攻击者通过具有 Shift JIS 编码的构建文本注入任意 Web 脚本或 HTML 。
 CVE-2011-36503.6.24 和 4.x 到 7.0 之前的 Mozilla Firefox 以及 3.1.6 和 5.0 到 7.0 之前的 Thunderbird 未正确处理包含多个函数的 JavaScript 文件这允许受用户协助的远程攻击者造成拒绝服务内存损坏和应用程序崩溃)或可能通过由调试 API 访问的构建文件造成其他不明影响这一点已由 Firebug 证实。

Tenable 已直接从MiracleLinux 安全公告中提取上述描述块。

请注意,Nessus 尚未测试这些问题,而是只依据应用程序自我报告的版本号进行判断。

解决方案

更新受影响的 firefox 和/或 xulrunner 程序包。

另见

https://tsn.miraclelinux.com/en/node/2570

插件详情

严重性: Medium

ID: 284447

文件名: miracle_linux_AXSA-2012-81.nasl

版本: 1.1

类型: Local

发布时间: 2026/1/14

最近更新时间: 2026/1/14

支持的传感器: Nessus Agent, Nessus

风险信息

VPR

风险因素: Medium

分数: 5.9

Vendor

Vendor Severity: High

CVSS v2

风险因素: Critical

基本分数: 10

时间分数: 7.4

矢量: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

CVSS 分数来源: CVE-2011-2998

CVSS v3

风险因素: Medium

基本分数: 6.1

时间分数: 5.3

矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N

时间矢量: CVSS:3.0/E:U/RL:O/RC:C

CVSS 分数来源: CVE-2011-3648

漏洞信息

CPE: p-cpe:/a:miracle:linux:firefox, p-cpe:/a:miracle:linux:xulrunner, cpe:/o:miracle:linux:4

必需的 KB 项: Host/local_checks_enabled, Host/cpu, Host/MiracleLinux/release, Host/MiracleLinux/rpm-list

易利用性: No known exploits are available

补丁发布日期: 2012/2/7

漏洞发布日期: 2011/9/27

参考资料信息

CVE: CVE-2011-2372, CVE-2011-2995, CVE-2011-2998, CVE-2011-2999, CVE-2011-3000, CVE-2011-3647, CVE-2011-3648, CVE-2011-3650