MagicLinux 3firefox-3.6.4-8.0.1.AXS3 (AXSA:2010-370:04)
medium Nessus 插件 ID 291373
语言:
简介
远程iraclelinux 主机缺少一个或多个安全更新。描述
远程iraclelinux 3 主机上存在安装的程序包该程序包受到公告 AXSA:2010-370:04 中提及的多个漏洞的影响。Mozilla Firefox 是一款开源 Web 浏览器专门针对标准合规性、性能和可移植性而设计。
此版本修复的安全问题
CVE-2008-5913 当前登录网站时Mozilla Firefox 中 JavaScript 实现中的不明函数会创建并暴露临时内存占用从而使远程攻击者更容易诱骗用户根据伪造的弹出消息即会话内钓鱼攻击。
注意截至 20090116 唯一的披露是含糊不清的预先公告其中不包含任何可操作的信息。但是,由于它来自已知研究人员因此出于跟踪目的其被分配了 CVE 标识符。
CVE-2010-0182 低于 3.5.9 和 3.6.x 的 Mozilla Firefox、低于 3.6.23.0.4] 的Thunderbird 以及低于 2.0.4 的SeaMonkey 中XMLDocument::load 函数在通过 XML 文档加载内容期间未执行预期的 nsIContentPolicy 检查这使得攻击者能够通过构建的内容绕过预期访问限制。
CVE-2010-1121 低于 3.6.3 的 Mozilla Firefox 3.6.x 未正确管理从一个文档移动到另一个文档的 DOM 节点范围这允许远程攻击者通过涉及与 的不当交互的不明矢量进行释放后使用攻击并执行任意代码。垃圾回收这一点已由 Nils 在 CanSecWest 2010 会议期间的 Pwn2Own 竞赛中证实。
CVE-2010-1125 Mozilla Firefox 3.x 中的 JavaScript 实现允许远程攻击者通过焦点方法的某些调用将选定的按键发送至隐藏框架中的表单字段而非可见框架中的预期表单字段。
在低于CVE-2010-1196 的 Mozilla Firefox 3.5.x 和低于 3.6.4的 3.6.x3.5.10 、低于 3.0.5的Thunderbird 以及低于 2.0.5 [] 的 SeaMonkey 中nsGenericDOMDataNode::SetTextInternal 函数中的 允许远程攻击者通过具有长字符串的 DOM 节点执行任意代码。触发基于堆的缓冲区溢出的文本值。
CVE-2010-1197 低于 3.5.10 和低于 3.6.x3.6.4的 Mozilla Firefox 3.5.x 以及低于 2.0.5的 SeaMonkey 未正确处理 HTTP 标头中同时存在 Content-Disposition: attachment 和 Content-Type: multipart 的情况这允许远程攻击导致攻击者通过上传的 HTML 文档进行跨站脚本 (XSS) 攻击。
CVE-2010-1198 低于 的 3.5.10 和低于 3.6.4的 3.6.x ] 的 Mozilla Firefox 3.5.x 以及 2.0.5之前的 SeaMonkey 中存在释放后使用漏洞允许远程攻击者通过涉及多个插件实例的矢量执行任意代码。
CVE-2010-1199 在 Mozilla Firefox 之前的 3.5.x3.5.10 和 之前的 3.6.x3.6.4、 3.0.5之前的 Thunderbird 以及 2.0.5 之前的 SeaMonkey 中XSLT 节点排序实现中的整数溢出允许远程攻击者通过节点的大文本值执行任意代码。
CVE-2010-1200 在低于 3.5.10 的 Mozilla Firefox 3.5.x 和低于 3.6.x3.6.4] 的 、低于 3.0.5的Thunderbird 以及低于 2.0.5 的 SeaMonkey 中浏览器引擎中存在多种不明漏洞允许远程攻击者造成拒绝服务内存损坏和应用程序崩溃或 可能通过未知矢量执行任意代码。
CVE-2010-1202 在低于 3.5.103.5.x 的Mozilla Firefox 和低于 3.6.x3.6.4] 的 、低于 3.0.5的Thunderbird 以及低于 2.0.5 的 SeaMonkey 中JavaScript 引擎中的多种不明漏洞允许远程攻击者造成拒绝服务内存损坏和应用程序崩溃或 可能通过未知矢量执行任意代码。
在CVE-2010-1203 ] 之前的 Mozilla Firefox 3.6.x3.6.4 中JavaScript 引擎中存在多种不明漏洞允许远程攻击者通过未知矢量造成拒绝服务内存损坏和应用程序崩溃或可能执行任意代码。
修复了缺陷和增强了以下功能
由于数量太多无法在此处一一列出请参阅此处的发行说明
http://mozilla.com/en-US/firefox/3.6.4/releasenotes/ http://mozilla.com/en-US/firefox/3.6/releasenotes/Additional information
某些插件可能无法再运行需要手动更新。
Tenable 已直接从MiracleLinux 安全公告中提取上述描述块。
请注意,Nessus 尚未测试这些问题,而是只依据应用程序自我报告的版本号进行判断。
解决方案
更新受影响的 firefox 程序包。另见
插件详情
严重性: Medium
ID: 291373
文件名: miracle_linux_AXSA-2010-370.nasl
版本: 1.1
类型: local
发布时间: 2026/1/19
最近更新时间: 2026/1/19
支持的传感器: Nessus Agent, Nessus
风险信息
VPR
风险因素: Medium
分数: 6.7
Vendor
Vendor Severity: High
CVSS v2
风险因素: Critical
基本分数: 10
时间分数: 7.8
矢量: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C
CVSS 分数来源: CVE-2010-1121
CVSS v3
风险因素: Medium
基本分数: 6.1
时间分数: 5.5
矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
时间矢量: CVSS:3.0/E:P/RL:O/RC:C
CVSS 分数来源: CVE-2010-1197
漏洞信息
CPE: p-cpe:/a:miracle:linux:firefox, cpe:/o:miracle:linux:3
必需的 KB 项: Host/local_checks_enabled, Host/cpu, Host/MiracleLinux/release, Host/MiracleLinux/rpm-list
可利用: true
易利用性: Exploits are available
补丁发布日期: 2010/6/28
漏洞发布日期: 2009/1/14
参考资料信息
CVE: CVE-2008-5913, CVE-2010-0182, CVE-2010-1121, CVE-2010-1125, CVE-2010-1196, CVE-2010-1197, CVE-2010-1198, CVE-2010-1199, CVE-2010-1200, CVE-2010-1202, CVE-2010-1203