MiracleLinux 4 : firefox-17.0.9-1.0.1.AXS4，xulrunner-17.0.9-1.0.1.AXS4 (AXSA:2013-625:07)

medium Nessus 插件 ID 289624

语言：

简介

远程 MiracleLinux 主机缺少一个或多个安全更新。

描述

远程 MiracleLinux 4 主机上安装的程序包受到 AXSA:2013-625:07 公告中提及的多个漏洞影响。

Mozilla Firefox 是一个开源 Web 浏览器，旨在满足标准合规性、性能和可移植性要求。
此版本修复了如下安全问题：
CVE-2013-1701 低于 23.0 的 Mozilla Firefox、低于 17.0.8 的 Firefox ESR 17.x、低于 17.0.8 的 Thunderbird、低于 17.0.8 的 Thunderbird ESR 17.x 以及低于 2.20 的 SeaMonkey 的浏览器引擎中存在多个不明漏洞，这些漏洞允许远程攻击者通过未知矢量造成拒绝服务（内存损坏和应用程序崩溃）或执行任意代码。
CVE-2013-1709 低于 23.0 的 Mozilla Firefox、低于 17.0.8 的 Firefox ESR 17.x、低于 17.0.8 的 Thunderbird、低于 17.0.8 的 Thunderbird ESR 17.x 以及低于 2.20 的 SeaMonkey 未正确处理 FRAME 元素与历史记录之间的交互，这允许远程攻击者通过涉及欺骗之前所访问文档中的相对位置的矢量来发起跨站脚本 (XSS) 攻击。
CVE-2013-1710 低于 23.0 的 Mozilla Firefox、低于 17.0.8 的 Firefox ESR 17.x、低于 17.0.8 的 Thunderbird、低于 17.0.8 的 Thunderbird ESR 17.x 以及低于 2.20 的 SeaMonkey 中的 crypto.generateCRMFRequest 函数允许远程攻击者通过与证书请求消息格式 (CRMF) 请求生成相关的矢量，执行任意 JavaScript 代码或发起跨站脚本 (XSS) 攻击。
CVE-2013-1713 低于 23.0 的 Mozilla Firefox、低于 17.0.8 的 Firefox ESR 17.x、低于 17.0.8 的 Thunderbird、低于 17.0.8 的 Thunderbird ESR 17.x 以及低于 2.20 的 SeaMonkey 在执行同源策略期间，在不明比较中使用错误的 URI，这允许远程攻击者通过构建的网站进行跨站脚本 (XSS) 攻击或安装任意附加组件。
CVE-2013-1714 低于 23.0 的 Mozilla Firefox、低于 17.0.8 的 Firefox ESR 17.x、低于 17.0.8 的 Thunderbird、低于 17.0.8 的 Thunderbird ESR 17.x 以及低于 2.20 的 SeaMonkey 中的 Web Workers 实现未正确限制 XMLHttpRequest 调用，这允许远程攻击者通过不明矢量绕过同源策略并执行跨站脚本 (XSS) 攻击。
CVE-2013-1717 低于 23.0 的 Mozilla Firefox、低于 17.0.8 的 Firefox ESR 17.x、低于 17.0.8 的 Thunderbird、低于 17.0.8 的 Thunderbird ESR 17.x 以及低于 2.20 的 SeaMonkey 未正确限制 Java 小程序的本地文件系统访问权限，从而允许用户协助的远程攻击者通过利用固定路径名或其他可预测路径名的下载来读取任意文件。
CVE-2013-1718 低于 24.0 的 Mozilla Firefox、低于 17.0.9 的 Firefox ESR 17.x、低于 24.0 的 Thunderbird、低于 17.0.9 的 Thunderbird ESR 17.x 以及低于 2.21 的 SeaMonkey 的浏览器引擎中存在多个不明漏洞，这些漏洞允许远程攻击者通过未知矢量造成拒绝服务（内存损坏和应用程序崩溃）或执行任意代码。
CVE-2013-1722 在低于 24.0 的 Mozilla Firefox、低于 17.0.9 的 Firefox ESR 17.x、低于 24.0 的 Thunderbird、低于 17.0.9 的 Thunderbird ESR 17.x 以及低于 2.21 的 SeaMonkey 中，Animation Manager 的 nsAnimationManager::BuildAnimations 函数中存在释放后使用漏洞，这允许远程攻击者通过涉及样式表克隆的矢量执行任意代码或造成拒绝服务（堆内存损坏）。
CVE-2013-1725 低于 24.0 的 Mozilla Firefox、低于 17.0.9 的 Firefox ESR 17.x、低于 24.0 的 Thunderbird、低于 17.0.9 的 Thunderbird ESR 17.x 以及低于 2.21 的 SeaMonkey 未确保对带有隔离舱的 JavaScript 对象进行初始化，这允许远程攻击者通过利用不正确的范围处理来执行任意代码。
CVE-2013-1730 低于 24.0 的Mozilla Firefox、低于 17.0.9 的 Firefox ESR 17.x、低于 24.0 的 Thunderbird、低于 17.0.9 的 Thunderbird ESR 17.x 以及低于 2.21 的 SeaMonkey 未在文档之间正确处理由 XBL 支持的节点移动情况，这允许远程攻击者通过构建的网站执行任意代码或造成拒绝服务（JavaScript 隔离舱不匹配或断言失败和应用程序退出）。
CVE-2013-1732 在低于 24.0 的 Mozilla Firefox、低于 17.0.9 的 Firefox ESR 17.x、低于 24.0 的 Thunderbird、低于 17.0.9 的 Thunderbird ESR 17.x 以及低于 2.21 的 SeaMonkey 中，nsFloatManager::GetFlowArea 函数中存在缓冲区溢出漏洞，这允许远程攻击者通过精心利用多列布局中的列表和浮点来执行任意代码。
CVE-2013-1735 在低于 24.0 的 Mozilla Firefox、低于 17.0.9 的 Firefox ESR 17.x、低于 24.0 的 Thunderbird、低于 17.0.9 的 Thunderbird ESR 17.x 以及低于 2.21 的 SeaMonkey 中，mozilla::layout::ScrollbarActivity 函数中存在释放后使用漏洞，这允许远程攻击者通过与图像-文档滚动相关的矢量执行任意代码。
CVE-2013-1736 低于 24.0 的Mozilla Firefox、低于 17.0.9 的 Firefox ESR 17.x、低于 24.0 的 Thunderbird、低于 17.0.9 的 Thunderbird ESR 17.x、低于 2.21 的 SeaMonkey 中的 nsGfxScrollFrameInner::IsLTR 函数允许远程攻击者通过与以不当方式针对范围-请求节点建立父-子关系相关的矢量，来执行任意代码或造成拒绝服务（内存损坏）。
CVE-2013-1737 在低于 24.0 的 Mozilla Firefox、低于 17.0.9 的 Firefox ESR 17.x、低于 24.0 的 Thunderbird、低于 17.0.9 的 Thunderbird ESR 17.x 以及低于 2.21 的 SeaMonkey 在于 DOM 代理上使用用户定义的 getter 方法期间未正确识别此对象，这可能允许远程攻击者通过涉及 expando 对象的矢量绕过预期访问限制。

Tenable 已直接从 MiracleLinux 安全公告中提取上述描述块。

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

解决方案

更新受影响的 firefox 和/或 xulrunner 程序包。

另见

https://tsn.miraclelinux.com/en/node/4304

插件详情

严重性: Medium

ID: 289624

文件名: miracle_linux_AXSA-2013-625.nasl

版本: 1.2

类型: local

系列: Miracle Linux Local Security Checks

发布时间: 2026/1/16

最近更新时间: 2026/2/9

支持的传感器: Nessus Agent, Nessus

风险信息

VPR

风险因素: Medium

分数: 6.7

Vendor

Vendor Severity: High

CVSS v2

风险因素: Critical

基本分数: 10

时间分数: 8.7

矢量: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

CVSS 分数来源: CVE-2013-1736

CVSS v3

风险因素: Medium

基本分数: 6.1

时间分数: 5.8

矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N

时间矢量: CVSS:3.0/E:H/RL:O/RC:C

CVSS 分数来源: CVE-2013-1713

漏洞信息

CPE: p-cpe:/a:miracle:linux:firefox, p-cpe:/a:miracle:linux:xulrunner, cpe:/o:miracle:linux:4

必需的 KB 项: Host/local_checks_enabled, Host/cpu, Host/MiracleLinux/release, Host/MiracleLinux/rpm-list

可利用: true

易利用性: Exploits are available

补丁发布日期: 2013/9/23

漏洞发布日期: 2013/8/6

可利用的方式

Metasploit (Firefox 5.0 - 15.0.1 __exposedProps__ XCS Code Execution)

参考资料信息

CVE: CVE-2013-1701, CVE-2013-1709, CVE-2013-1710, CVE-2013-1713, CVE-2013-1714, CVE-2013-1717, CVE-2013-1718, CVE-2013-1722, CVE-2013-1725, CVE-2013-1730, CVE-2013-1732, CVE-2013-1735, CVE-2013-1736, CVE-2013-1737