Scientific Linux 安全更新：SL3.x、SL4.x i386/x86_64 中的 seamonkey

critical Nessus 插件 ID 60665

语言：

简介

远程 Scientific Linux 主机缺少一个或多个安全更新。

描述

CVE-2009-2409 在 SSL 证书验证中弃用了 MD2 (Kaminsky)

CVE-2009-2408 firefox/nss：未正确处理公用名中的 NULL

CVE-2009-2654 firefox：URL 栏欺骗漏洞

CVE-2009-3072 Firefox 3.5.3 3.0.14 浏览器引擎崩溃

CVE-2009-3075 Firefox 3.5.2 3.0.14 JavaScript 引擎崩溃

CVE-2009-3076 Firefox 3.0.14 PKCS11 模块安装和删除的警告不足

CVE-2009-3077 Firefox 3.5.3 3.0.14 TreeColumns 悬摆指针漏洞

在对畸形 Web 内容的处理中发现多个缺陷。包含恶意内容的网页可造成 SeaMonkey 崩溃，或者可能以运行 SeaMonkey 的用户的权限执行任意代码。（CVE-2009-3072、CVE-2009-3075）

在 SeaMonkey 中发现一个释放后使用缺陷。攻击者可利用此缺陷使 SeaMonkey 崩溃，或可能以运行 SeaMonkey 用户的权限执行任意代码。(CVE-2009-3077)

Dan Kaminsky 发现 SeaMonkey 等浏览器处理证书中的空字符的方式中存在缺陷。如果攻击者能获得由 SeaMonkey 信任的证书颁发机构签名的、精心构建的证书，则攻击者可在中间人攻击期间利用此证书，并可能使 SeaMonkey 混淆而错误地接受此证书。(CVE-2009-2408)

添加和删除 PKCS #11 模块时，对话框中的描述非信息性。能够诱骗用户安装恶意 PKCS #11 模块的攻击者可利用此缺陷，在用户的计算机上安装其自身的证书颁发机构证书，从而可能欺骗用户使其相信正在查看的站点受信任，或可能以运行 SeaMonkey 用户的权限执行任意代码。(CVE-2009-3076)

在以某种方式调用 window.open() 的情况下，发现 SeaMonkey 显示地址栏的方式中存在缺陷。攻击者可利用此缺陷隐藏恶意 URL，从而可能诱骗用户使其相信正在查看的站点受信任。(CVE-2009-2654)

Dan Kaminsky 发现即便 MD2 不再被认为是高安全性的加密算法，浏览器仍然接受带有 MD2 哈希签名的证书。这可使攻击者更容易创建会被浏览器视为受信任证书的恶意证书。现在 NSS（由 SeaMonkey 提供）在默认情况下禁用签名内的 MD2 和 MD4 算法。
(CVE-2009-2409)

安装更新后，必须重新启动 SeaMonkey 才能使更改生效。