Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
(AV:N/AC:M/Au:N/C:C/I:C/A:C)
Производитель ПО
Наименование ПО
seamonkey
(any)
seamonkey-chat
(any)
seamonkey-devel
(any)
seamonkey-dom-inspector
(any)
seamonkey-js-debugger
(any)
seamonkey-mail
(any)
seamonkey-nspr
(any)
seamonkey-nspr-devel
(any)
seamonkey-nss
(any)
seamonkey-nss-devel
(any)
Описание
SeaMonkey - это свободно распространяемый веб-браузер, клиент почтовых сообщений и новостных групп, клиент чата IRC и редактор HTML.
Ошибки обнаружены при обработке вредоносного веб-контента. Веб-страница, содержащая вредоносный контент, может вызвать аварийное завершение работы SeaMonkey или позволит выполнить произвольный код с привилегиями пользователя, который запустил SeaMonkey. (CVE-2010-3176, CVE-2010-3180)
Ошибка обнаружена в обработчике Gopher в SeaMonkey при конвертации текста в HTML. Специально сформированное имя файла на сервере Gopher, когда пользователь с запущенным SeaMonkey пытается получить доступ, позволяет выполнить произвольный JavaScript-код в контексте домена Gopher. (CVE-2010-3177)
Ошибка обнаружена в сценарии, который загружает SeaMonkey. Переменная LD_LIBRARY_PATH дополнена символов ".", что позволяет злоумышленнику, действующему локально, выполнить произвольный код с привилегиями другого пользователя, который запустил SeaMonkey, если этот пользователь запустил SeaMonkey из каталога, который контролируется злоумышленником. (CVE-2010-3182)
Обнаружено, что реализация режима SSL DHE (Diffie-Hellman Ephemeral) для изменения ключей в SeaMonkey принимает DHE-ключи длиной 256 бит. Данное обновление позволяет удалить поддержку 256-битных DHE-ключей, т.к. такие ключи легко взломать на современном оборудовании. (CVE-2010-3173)
Ошибка обнаружена в SeaMonkey при обработке SSL-сертификатов, у которых Common Name содержит групповой символ и часть IP-адреса. SeaMonkey некорректно принимает соединения с IP-адресами, которые входят в диапазон, заданный групповым символом SSL-сертификата, что позволяет злоумышленнику проводить атаку типа "человек посередине". (CVE-2010-3170)
Всем пользователям SeaMonkey рекомендуется обновить программное обеспечение, чтобы избавиться от указанных проблем. После установки данного обновления необходимо перезапустить SeaMonkey, чтобы изменения вступили в силу.
Ошибки обнаружены при обработке вредоносного веб-контента. Веб-страница, содержащая вредоносный контент, может вызвать аварийное завершение работы SeaMonkey или позволит выполнить произвольный код с привилегиями пользователя, который запустил SeaMonkey. (CVE-2010-3176, CVE-2010-3180)
Ошибка обнаружена в обработчике Gopher в SeaMonkey при конвертации текста в HTML. Специально сформированное имя файла на сервере Gopher, когда пользователь с запущенным SeaMonkey пытается получить доступ, позволяет выполнить произвольный JavaScript-код в контексте домена Gopher. (CVE-2010-3177)
Ошибка обнаружена в сценарии, который загружает SeaMonkey. Переменная LD_LIBRARY_PATH дополнена символов ".", что позволяет злоумышленнику, действующему локально, выполнить произвольный код с привилегиями другого пользователя, который запустил SeaMonkey, если этот пользователь запустил SeaMonkey из каталога, который контролируется злоумышленником. (CVE-2010-3182)
Обнаружено, что реализация режима SSL DHE (Diffie-Hellman Ephemeral) для изменения ключей в SeaMonkey принимает DHE-ключи длиной 256 бит. Данное обновление позволяет удалить поддержку 256-битных DHE-ключей, т.к. такие ключи легко взломать на современном оборудовании. (CVE-2010-3173)
Ошибка обнаружена в SeaMonkey при обработке SSL-сертификатов, у которых Common Name содержит групповой символ и часть IP-адреса. SeaMonkey некорректно принимает соединения с IP-адресами, которые входят в диапазон, заданный групповым символом SSL-сертификата, что позволяет злоумышленнику проводить атаку типа "человек посередине". (CVE-2010-3170)
Всем пользователям SeaMonkey рекомендуется обновить программное обеспечение, чтобы избавиться от указанных проблем. После установки данного обновления необходимо перезапустить SeaMonkey, чтобы изменения вступили в силу.
Как исправить
Для устранения уязвимости необходимо установить последнюю версию продукта, соответствующую используемой платформе. Необходимую информацию можно получить по адресу:
https://rhn.redhat.com/errata/RHSA-2010-0781.html
https://rhn.redhat.com/errata/RHSA-2010-0781.html
Ссылки
https://rhn.redhat.com/errata/RHSA-2010-0781.html
CVE (CVE-2010-3170): https://www.redhat.com/security/data/cve/CVE-2010-3170.html
CVE (CVE-2010-3173): https://www.redhat.com/security/data/cve/CVE-2010-3173.html
CVE (CVE-2010-3176): https://www.redhat.com/security/data/cve/CVE-2010-3176.html
CVE (CVE-2010-3177): https://www.redhat.com/security/data/cve/CVE-2010-3177.html
CVE (CVE-2010-3180): https://www.redhat.com/security/data/cve/CVE-2010-3180.html
CVE (CVE-2010-3182): https://www.redhat.com/security/data/cve/CVE-2010-3182.html
BUGZILLA (630047): http://bugzilla.redhat.com/630047
BUGZILLA (642272): http://bugzilla.redhat.com/642272
BUGZILLA (642283): http://bugzilla.redhat.com/642283
BUGZILLA (642290): http://bugzilla.redhat.com/642290
BUGZILLA (642300): http://bugzilla.redhat.com/642300
BUGZILLA (642302): http://bugzilla.redhat.com/642302
Источник: CVE
Наименование: CVE-2010-3170
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-3170
Источник: CVE
Наименование: CVE-2010-3173
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-3173
Источник: CVE
Наименование: CVE-2010-3176
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-3176
Источник: CVE
Наименование: CVE-2010-3177
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-3177
Источник: CVE
Наименование: CVE-2010-3180
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-3180
Источник: CVE
Наименование: CVE-2010-3182
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-3182
CVE (CVE-2010-3170): https://www.redhat.com/security/data/cve/CVE-2010-3170.html
CVE (CVE-2010-3173): https://www.redhat.com/security/data/cve/CVE-2010-3173.html
CVE (CVE-2010-3176): https://www.redhat.com/security/data/cve/CVE-2010-3176.html
CVE (CVE-2010-3177): https://www.redhat.com/security/data/cve/CVE-2010-3177.html
CVE (CVE-2010-3180): https://www.redhat.com/security/data/cve/CVE-2010-3180.html
CVE (CVE-2010-3182): https://www.redhat.com/security/data/cve/CVE-2010-3182.html
BUGZILLA (630047): http://bugzilla.redhat.com/630047
BUGZILLA (642272): http://bugzilla.redhat.com/642272
BUGZILLA (642283): http://bugzilla.redhat.com/642283
BUGZILLA (642290): http://bugzilla.redhat.com/642290
BUGZILLA (642300): http://bugzilla.redhat.com/642300
BUGZILLA (642302): http://bugzilla.redhat.com/642302
Источник: CVE
Наименование: CVE-2010-3170
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-3170
Источник: CVE
Наименование: CVE-2010-3173
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-3173
Источник: CVE
Наименование: CVE-2010-3176
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-3176
Источник: CVE
Наименование: CVE-2010-3177
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-3177
Источник: CVE
Наименование: CVE-2010-3180
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-3180
Источник: CVE
Наименование: CVE-2010-3182
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-3182