• Все разделы
  • Статьи
  • Медиа
  • Новости
  • Нормативные материалы
  • Конференции
  • Глоссарий

Бюллетень безопасности RHSA-2010:0781-01

Главная Специалистам База уязвимостей Бюллетень безопасности RHSA-2010:0781-01

Карточка уязвимости

Характеристики уязвимости

Уровень опасности
Оценка CVSS
(AV:N/AC:M/Au:N/C:C/I:C/A:C)
Производитель ПО
Описание
SeaMonkey - это свободно распространяемый веб-браузер, клиент почтовых сообщений и новостных групп, клиент чата IRC и редактор HTML.
Ошибки обнаружены при обработке вредоносного веб-контента. Веб-страница, содержащая вредоносный контент, может вызвать аварийное завершение работы SeaMonkey или позволит выполнить произвольный код с привилегиями пользователя, который запустил SeaMonkey. (CVE-2010-3176, CVE-2010-3180)
Ошибка обнаружена в обработчике Gopher в SeaMonkey при конвертации текста в HTML. Специально сформированное имя файла на сервере Gopher, когда пользователь с запущенным SeaMonkey пытается получить доступ, позволяет выполнить произвольный JavaScript-код в контексте домена Gopher. (CVE-2010-3177)
Ошибка обнаружена в сценарии, который загружает SeaMonkey. Переменная LD_LIBRARY_PATH дополнена символов ".", что позволяет злоумышленнику, действующему локально, выполнить произвольный код с привилегиями другого пользователя, который запустил SeaMonkey, если этот пользователь запустил SeaMonkey из каталога, который контролируется злоумышленником. (CVE-2010-3182)
Обнаружено, что реализация режима SSL DHE (Diffie-Hellman Ephemeral) для изменения ключей в SeaMonkey принимает DHE-ключи длиной 256 бит. Данное обновление позволяет удалить поддержку 256-битных DHE-ключей, т.к. такие ключи легко взломать на современном оборудовании. (CVE-2010-3173)
Ошибка обнаружена в SeaMonkey при обработке SSL-сертификатов, у которых Common Name содержит групповой символ и часть IP-адреса. SeaMonkey некорректно принимает соединения с IP-адресами, которые входят в диапазон, заданный групповым символом SSL-сертификата, что позволяет злоумышленнику проводить атаку типа "человек посередине". (CVE-2010-3170)
Всем пользователям SeaMonkey рекомендуется обновить программное обеспечение, чтобы избавиться от указанных проблем. После установки данного обновления необходимо перезапустить SeaMonkey, чтобы изменения вступили в силу.
Как исправить
Для устранения уязвимости необходимо установить последнюю версию продукта, соответствующую используемой платформе. Необходимую информацию можно получить по адресу:
https://rhn.redhat.com/errata/RHSA-2010-0781.html
Ссылки
https://rhn.redhat.com/errata/RHSA-2010-0781.html
CVE (CVE-2010-3170): https://www.redhat.com/security/data/cve/CVE-2010-3170.html
CVE (CVE-2010-3173): https://www.redhat.com/security/data/cve/CVE-2010-3173.html
CVE (CVE-2010-3176): https://www.redhat.com/security/data/cve/CVE-2010-3176.html
CVE (CVE-2010-3177): https://www.redhat.com/security/data/cve/CVE-2010-3177.html
CVE (CVE-2010-3180): https://www.redhat.com/security/data/cve/CVE-2010-3180.html
CVE (CVE-2010-3182): https://www.redhat.com/security/data/cve/CVE-2010-3182.html
BUGZILLA (630047): http://bugzilla.redhat.com/630047
BUGZILLA (642272): http://bugzilla.redhat.com/642272
BUGZILLA (642283): http://bugzilla.redhat.com/642283
BUGZILLA (642290): http://bugzilla.redhat.com/642290
BUGZILLA (642300): http://bugzilla.redhat.com/642300
BUGZILLA (642302): http://bugzilla.redhat.com/642302

Источник: CVE
Наименование: CVE-2010-3170
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-3170

Источник: CVE
Наименование: CVE-2010-3173
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-3173

Источник: CVE
Наименование: CVE-2010-3176
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-3176

Источник: CVE
Наименование: CVE-2010-3177
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-3177

Источник: CVE
Наименование: CVE-2010-3180
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-3180

Источник: CVE
Наименование: CVE-2010-3182
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-3182