远程 Debian 11 主机上安装的多个程序包受到 dla-4078 公告中提及的多个漏洞影响。

    - ------------------------------------------------------------------------- Debian LTS 公告 DLA-4078-1 debian-lts@lists.debian.org https://www.debian.org/lts/security/Emilio Pozuelo Monfort 2025 年 3 月 6 日 https://wiki.debian.org/LTS
    - -------------------------------------------------------------------------

    程序包：firefox-esr 版本：128.8.0esr-1~deb11u1 CVE ID：CVE-2024-43097 CVE-2025-1931 CVE-2025-1932 CVE-2025-1933 CVE-2025-1934 CVE-2025-1935 CVE-2025-1936 CVE-2025-1937 CVE-2025-1938

    Mozilla Firefox web 浏览器中发现多个安全问题，可能会造成执行任意代码。

    对于 Debian 11 bullseye，已在 128.8.0esr-1~deb11u1 版本中修复这些问题。

    建议您升级 firefox-esr 程序包。

    如需了解 firefox-esr 的详细安全状态，请参阅其安全跟踪页面：
    https://security-tracker.debian.org/tracker/firefox-esr

    有关 Debian LTS 安全公告、如何将这些更新应用到系统以及常见问题解答的更多信息，请访问以下网址：https://wiki.debian.org/LTS

Tenable 已直接从 Debian 安全公告中提取上述描述块。

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

リモートの macOS または Mac OS X のホストにインストールされている Thunderbird のバージョンは、128.8 より前です。したがって、mfsa2025-18 のアドバイザリに記載されている複数の脆弱性の影響を受けます。

  - Firefox 135、Thunderbird 135、Firefox ESR 128.7、および Thunderbird 128.7 に存在するメモリの安全性のバグ。これらのバグの一部にはメモリ破損の証拠が示されており、当社では、十分な労力をもってすればこれらの一部を悪用し、任意のコードを実行することが可能であると推測しています。(CVE-2025-1938)

  - xslt/txNodeSorter の一貫性のないコンパレーターにより、領域外アクセスを悪用される可能性がありました。影響を受けるのは、バージョン 122 以降のみです。(CVE-2025-1932)

  - 暗号化された OpenPGP メッセージを含むと主張しながら、代わりに OpenPGP 署名済みメッセージを含んでいた、特定の細工された MIME メールメッセージが、誤って暗号化されていると表示されました。(CVE-2025-26696)

  - WKD サーバーから OpenPGP キーをリクエストする際に不適切なパディングサイズが使用され、ネットワークオブザーバーがリクエストされたメールアドレスの長さを知ることができた可能性があります。(CVE-2025-26695)

  - SkRegion.cpp の resizeToAtLeast で、整数オーバーフローによる領域外書き込みが発生する可能性がありました (CVE-2024-43097)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

リモートの macOS または Mac OS X のホストにインストールされている Thunderbird のバージョンは、136.0 より前です。したがって、mfsa2025-17 のアドバイザリに記載されている複数の脆弱性の影響を受けます。

  - Firefox 135、Thunderbird 135、Firefox ESR 128.7、および Thunderbird 128.7 に存在するメモリの安全性のバグ。これらのバグの一部にはメモリ破損の証拠が示されており、当社では、十分な労力をもってすればこれらの一部を悪用し、任意のコードを実行することが可能であると推測しています。(CVE-2025-1938)

  - xslt/txNodeSorter の一貫性のないコンパレーターにより、領域外アクセスを悪用される可能性がありました。影響を受けるのは、バージョン 122 以降のみです。(CVE-2025-1932)

  - 暗号化された OpenPGP メッセージを含むと主張しながら、代わりに OpenPGP 署名済みメッセージを含んでいた、特定の細工された MIME メールメッセージが、誤って暗号化されていると表示されました。(CVE-2025-26696)

  - WKD サーバーから OpenPGP キーをリクエストする際に不適切なパディングサイズが使用され、ネットワークオブザーバーがリクエストされたメールアドレスの長さを知ることができた可能性があります。(CVE-2025-26695)

  - Windows で、侵害されたコンテンツプロセスが、AudioIPC を介して送信された不良な StreamData を使用して、ブラウザプロセスでメモリ解放後使用 (use-after-free) をトリガーする可能性があります。これは、サンドボックスの回避につながる可能性があります。(CVE-2025-1930)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

リモートの Oracle Linux 9 ホストに、ELSA-2025-2359アドバイザリに記載されている複数の脆弱性の影響を受けるパッケージがインストールされています。

    [128.8.0-1.0.1]
    - 新しい nss の firefox-oracle-default-prefs.js を修正します [Orabug: 37079773]
    - firefox-oracle-default-prefs.js を追加し、対応する Red Hat ファイルを削除します

    [128.8.0]
    - ブランド解除パッチを追加します (Mustafa Gezen 氏)
    - OpenELA のデフォルトの環境設定を追加します (Louis Abel 氏)

    [128.8.0-1]
    - 128.8.0 build1 に更新します

Tenable は、前述の記述ブロックを Oracle Linux セキュリティアドバイザリから直接抽出しています。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

リモート Redhat Enterprise Linux 9 ホストに、RHSA-2025:2359 アドバイザリに記載されている複数の脆弱性の影響を受けるパッケージがインストールされています。

    Mozilla Firefox は、標準コンプライアンス、パフォーマンス、移植性のために設計されたオープンソースのウェブブラウザです。

    セキュリティ修正プログラム:

    * firefox: WebTransportChild でのメモリ解放後使用 (use-after-free) (CVE-2025-1931)

    * firefox: AudioIPC StreamData が、ブラウザプロセスでメモリ解放後使用 (use-after-free) を引き起こす可能性がありました (CVE-2025-1930)

    * firefox: RegExp 救済処理中の予期しない GC (CVE-2025-1934)

    * firefox: registerProtocolHandler 情報バー Reporter のクリックジャッキング (CVE-2025-1935)

    * firefox: thunderbird: Firefox 136、Thunderbird 136、Firefox ESR 128.8、および Thunderbird 128.8 で修正されたメモリの安全性のバグ (CVE-2025-1938)

    * firefox: JIT による 64 ビット CPU 上での WASM i32 戻り値の破損 (CVE-2025-1933)

    * firefox: thunderbird: Firefox 136、Thunderbird 136、Firefox ESR 115.21、Firefox ESR 128.8、Thunderbird 128.8 で修正されたメモリの安全性のバグ (CVE-2025-1937)

    * firefox: XSLT ソートの一貫性のないコンパレーターにより、領域外アクセスが行われる可能性がありました (CVE-2025-1932)

    * firefox: %00 および偽の拡張子を jar:URL に追加することで、コンテンツの解釈を変更することができました (CVE-2025-1936)

    影響、CVSS スコア、謝辞、その他の関連情報を含むセキュリティ問題の詳細については、「参照」セクションに記載されている CVE のページを参照してください。

Tenable は、前述の記述ブロックを Red Hat Enterprise Linux セキュリティアドバイザリから直接抽出しています。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

リモートの Fedora 41 ホストには、FEDORA-2025-bd6664e83b のアドバイザリに記載された複数の脆弱性の影響を受けるパッケージがインストールされています。

    128.8.0 に更新してください

    * https://www.mozilla.org/en-US/security/advisories/mfsa2025-18/* https://www.thunderbird.net/en-US/thunderbird/128.8.0esr/releasenotes/

Tenable は、前述の記述ブロックを Fedora セキュリティアドバイザリから直接抽出しています。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

リモートの SUSE Linux SLED15 / SLED_SAP15 / SLES15 / SLES_SAP15 / openSUSE 15 ホストには、SUSE-SU-2025:0849-1のアドバイザリに記載された複数の脆弱性の影響を受けるパッケージがインストールされています。

    Mozilla Thunderbird に対する更新 128.8 MFSA 2025-18 (bsc#1237683):

      - CVE-2024-43097: SkRegion の RunArray を拡張する際のオーバーフロー
      - CVE-2025-1930: AudioIPC StreamData が、ブラウザプロセスでメモリ解放後使用 (use-after-free) を引き起こす可能性がありました
      - CVE-2025-1931: WebTransportChild でのメモリ解放後使用
      - CVE-2025-1932: XSLT ソートの一貫性のないコンパレーターにより、領域外アクセスが行われる可能性がありました
      - CVE-2025-1933: JIT による 64 ビット CPU 上での WASM i32 戻り値の破損
      - CVE-2025-1934: RegExp 救済処理中の予期しない GC
      - CVE-2025-1935: registerProtocolHandler 情報バーのクリックジャッキング
      - CVE-2025-1936: %00 および偽の拡張子を jar:URL に追加することで、コンテンツの解釈を変更することができました
      - CVE-2025-1937: Firefox 136、Thunderbird 136、Firefox ESR 115.21、Firefox ESR 128.8、Thunderbird 128.8 で修正されたメモリの安全性のバグ
      - CVE-2025-1938: Firefox 136、Thunderbird 136、Firefox ESR 128.8、Thunderbird 128.8 で修正されたメモリの安全性のバグ
      - CVE-2025-26695: WKD からの OpenPGP キーのダウンロードで、不適切なパディングが使用されました
      - CVE-2025-26696: 細工されたメールメッセージが誤って暗号化されているように表示されます

      その他の修正:
      * 多数のフォルダーがあるプロファイルで .EML ファイルを開くのに時間がかかる場合があります。
      * 多数のフォルダーを持つユーザーは、メッセージペインのサイズを変更するときにパフォーマンスの低下を経験しました。
      * 作成ウィンドウの幅が狭い場合、作成ウィンドウの [Replace] ボタンが上書きされました。
      * [Use default server] が選択されている場合、モバイルへのエクスポートが機能しませんでした。
      * フィードウェブコンテンツで、[Save Link As] が機能していませんでした。

Tenable は、前述の記述ブロックを SUSE セキュリティアドバイザリから直接抽出しています。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

リモート Redhat Enterprise Linux 8 ホストに、RHSA-2025:2486 アドバイザリに記載されている複数の脆弱性の影響を受けるパッケージがインストールされています。

    Mozilla Firefox は、標準コンプライアンス、パフォーマンス、移植性のために設計されたオープンソースのウェブブラウザです。

    セキュリティ修正:

    * firefox: WebTransportChild でのメモリ解放後使用 (use-after-free) (CVE-2025-1931)

    * firefox: AudioIPC StreamData が、ブラウザプロセスでメモリ解放後使用 (use-after-free) を引き起こす可能性がありました (CVE-2025-1930)

    * firefox: RegExp 救済処理中の予期しない GC (CVE-2025-1934)

    * firefox: registerProtocolHandler 情報バー Reporter のクリックジャッキング (CVE-2025-1935)

    * firefox: thunderbird: Firefox 136、Thunderbird 136、Firefox ESR 128.8、および Thunderbird 128.8 で修正されたメモリの安全性のバグ (CVE-2025-1938)

    * firefox: JIT による 64 ビット CPU 上での WASM i32 戻り値の破損 (CVE-2025-1933)

    * firefox: thunderbird: Firefox 136、Thunderbird 136、Firefox ESR 115.21、Firefox ESR 128.8、Thunderbird 128.8 で修正されたメモリの安全性のバグ (CVE-2025-1937)

    * firefox: XSLT ソートの一貫性のないコンパレーターにより、領域外アクセスが行われる可能性がありました (CVE-2025-1932)

    * firefox: %00 および偽の拡張子を jar:URL に追加することで、コンテンツの解釈を変更することができました (CVE-2025-1936)

    影響、CVSS スコア、謝辞、その他の関連情報を含むセキュリティ問題の詳細については、「参照」セクションに記載されている CVE のページを参照してください。

Tenable は、前述の記述ブロックを Red Hat Enterprise Linux セキュリティアドバイザリから直接抽出しています。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

リモートホストにインストールされている mozilla-firefox のバージョンは、128.8.0esr より前です。したがって、SSA:2025-063-01 のアドバイザリに記載されている複数の脆弱性の影響を受けます。

    セキュリティ問題を修正する新しい mozilla-firefox パッケージが、Slackware 15.0 および最新版で利用可能です。

Tenable は、前述の記述ブロックを mozilla-firefox セキュリティアドバイザリから直接抽出しています。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

リモートの Debian 11 ホストには、dla-4081 のアドバイザリに記載された複数の脆弱性の影響を受けるパッケージがインストールされています。

    - ------------------------------------------------------------------------- Debian LTS アドバイザリ DLA-4081-1 debian-lts@lists.debian.org https://www.debian.org/lts/security/Emilio Pozuelo Monfort 2025 年 3 月 10 日 https://wiki.debian.org/LTS
    - -------------------------------------------------------------------------

    パッケージ : thunderbird バージョン : 1:128.8.0esr-1~deb11u1 CVE ID : CVE-2024-43097 CVE-2025-1931 CVE-2025-1932 CVE-2025-1933 CVE-2025-1934 CVE-2025-1935 CVE-2025-1936 CVE-2025-1937 CVE-2025-1938

    Thunderbird に複数のセキュリティの問題が発見されました。これにより、任意コード実行やサービス拒否が発生する可能性がありました。

    Debian 11 bullseye においては、これらの問題はバージョン 1:128.8.0esr-1~deb11u1 で修正されました。

    お使いの thunderbird パッケージをアップグレードすることを推奨します。

    thunderbird の詳細なセキュリティステータスについては、そのセキュリティトラッカーページを参照してください。
    https://security-tracker.debian.org/tracker/thunderbird

    Debian LTS セキュリティアドバイザリに関する詳細、これらの更新をシステムに適用する方法、およびよくある質問については、こちらを参照してください。https://wiki.debian.org/LTS

Tenable は、前述の説明ブロックを Debian セキュリティアドバイザリから直接抽出しました。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

Linux/Unix ホストには、ベンダーが提供するパッチが利用できない脆弱性の影響を受ける複数のパッケージがインストールされています。

  - WebTransport 接続のコンテンツプロセス側で use-after-free を引き起こすことが可能で、悪用可能なクラッシュを引き起こす可能性があります。この脆弱性は、 Firefox < 136、Firefox ESR < 115.21、Firefox ESR < 128.8、Thunderbird < 136、Thunderbird < 128.8に影響します。 （CVE-2025-1931）

Nessus は、ベンダーによって報告されたパッケージの存在に依存していることに注意してください。

リモートの Debian 11 ホストには、dla-4078 のアドバイザリに記載された複数の脆弱性の影響を受けるパッケージがインストールされています。

    - ------------------------------------------------------------------------- Debian LTS アドバイザリ DLA-4078-1 debian-lts@lists.debian.org https://www.debian.org/lts/security/Emilio Pozuelo Monfort 2025 年 3 月 6 日 https://wiki.debian.org/LTS
    - -------------------------------------------------------------------------

    パッケージ: firefox-esr バージョン: 128.8.0esr-1~deb11u1 CVE ID: CVE-2024-43097 CVE-2025-1931 CVE-2025-1932 CVE-2025-1933 CVE-2025-1934 CVE-2025-1935 CVE-2025-1936 CVE-2025-1937 CVE-2025-1938

    Mozilla Firefox ウェブブラウザには複数のセキュリティの問題が見つかり、これにより任意コード実行が発生する可能性があります。

    Debian 11 bullseye においては、これらの問題はバージョン 128.8.0esr-1~deb11u1 で修正されました。

    お使いの firefox-esr パッケージをアップグレードすることを推奨します。

    firefox-esr の詳細なセキュリティステータスについては、そのセキュリティトラッカーページを参照してください。
    https://security-tracker.debian.org/tracker/firefox-esr

    Debian LTS セキュリティアドバイザリに関する詳細、これらの更新をシステムに適用する方法、およびよくある質問については、こちらを参照してください。https://wiki.debian.org/LTS

Tenable は、前述の説明ブロックを Debian セキュリティアドバイザリから直接抽出しました。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ID	名称	产品	系列	发布时间	最近更新时间	严重程度
232214	Debian dla-4078：firefox-esr - 安全更新	Nessus	Debian Local Security Checks	2025/3/6	2025/3/6	critical
222870	Mozilla Thunderbird < 128.8	Nessus	MacOS X Local Security Checks	2025/3/4	2025/3/10	critical
222957	Mozilla Thunderbird < 136.0	Nessus	MacOS X Local Security Checks	2025/3/4	2025/3/10	critical
232210	Oracle Linux 9 : firefox (ELSA-2025-2359)	Nessus	Oracle Linux Local Security Checks	2025/3/6	2025/3/6	critical
232537	RHEL 9 : firefox (RHSA-2025:2359)	Nessus	Red Hat Local Security Checks	2025/3/10	2025/6/5	high
232636	Fedora 41 : thunderbird (2025-bd6664e83b)	Nessus	Fedora Local Security Checks	2025/3/12	2025/4/3	critical
232679	SUSE SLED15 / SLES15 / openSUSE 15 セキュリティ更新: MozillaThunderbird (SUSE-SU-2025:0849-1)	Nessus	SuSE Local Security Checks	2025/3/13	2025/3/13	high
232773	RHEL 8: firefox (RHSA-2025:2486)	Nessus	Red Hat Local Security Checks	2025/3/15	2025/6/5	high
224118	Slackware Linux 15.0/ current mozilla-firefox の複数の脆弱性 (SSA:2025-063-01)	Nessus	Slackware Local Security Checks	2025/3/5	2025/3/5	critical
232548	Debian dla-4081 : thunderbird - セキュリティ更新	Nessus	Debian Local Security Checks	2025/3/10	2025/4/3	critical
232144	Linux Distros のパッチ未適用の脆弱性: CVE-2025-1931	Nessus	Misc.	2025/3/6	2025/3/6	high
232214	Debian dla-4078: firefox-esr - セキュリティ更新	Nessus	Debian Local Security Checks	2025/3/6	2025/3/6	critical

检测

插件搜索

critical

critical

critical

critical

high

critical

high

high

critical

critical

high

critical