| 취약점ID |
14227 |
| 위험도 |
30 |
| 포트 |
22 |
| 프로토콜 |
TCP |
| 분류 |
LSC |
| 상세설명 |
원격 시스템에는 firefox security update인 CESA-2019:1267이 패치되어 있지 않다. 패치 전 firefox에는 다음과 같은 취약점이 존재한다.
- 메모리 손상 취약점이 존재한다. (CVE-2019-9800)
- createImageBitmap 사용 시 동일 도메인이 아닌 다른 곳의 이미지를 읽어올 수 있는 오류가 존재한다. (CVE-2019-9797)
- groups과 UnboxedObjects 오브젝트에 타입 혼동 오류가 존재한다. (CVE-2019-9816)
- canvas 사용 시 다른 사이트의 이미지 데이터 정보를 획득할 수 있다. (CVE-2019-9817)
- fetch API 이용 시 잘못된 자바스크립트를 사용할 수 있다. (CVE-2019-9819)
- ChromeEventHandler와 XMLHttpRequest에 Use-after-free 오류가 존재한다. (CVE-2019-9820, CVE-2019-11691)
- 리스너를 닫을 때 Use-after-free 오류가 존재한다. (CVE-2019-11692)
- WebGL bufferdata에 버퍼 오버플로우가 존재한다. (CVE-2019-11693)
- ImageBitmapRenderingContext 사용 시 동일 도메인이 아닌 다른 곳의 이미지를 읽어올 수 있는 오류가 존재한다. (CVE-2018-18511)
- Skia에 메모리 경계를 벗어난 곳에 접근하는 오류가 존재한다. (CVE-2019-5798)
- 하이퍼링크 드래그 앤 드롭 시 히스토리 데이터 정보를 획득할 수 있다. (CVE-2019-11698)
- png.c의 png_image_free함수에 Use-after-free 오류가 존재한다. (CVE-2019-7317)
* 참고 사이트:
https://lists.centos.org/pipermail/centos-announce/2019-May/023318.html
* 알림: 이 점검항목은 이 취약점을 점검하기 위해 해당 원격지 서버의 firefox RPM 버전 정보만을 확인한다. 따라서 거짓 양성반응(False Positive)을 보일 수 있다.
* 영향을 받는 플랫폼:
CentOS Linux Server (v. 6) |
| 해결책 |
다음 절차에 따라 영향받는 패키지를 업데이트 한다.
System -> Administration -> Software Update
또는 커맨드라인에서 다음과 같이 OS를 업데이트 한다.
# yum update |
| 관련 URL |
CVE-2018-18511,CVE-2019-11691,CVE-2019-11692,CVE-2019-11693,CVE-2019-11698,CVE-2019-5798,CVE-2019-7317,CVE-2019-9797,CVE-2019-9800,CVE-2019-9816 (CVE) |
| 관련 URL |
(SecurityFocus) |
| 관련 URL |
(ISS) |
|
