CVE-2005-3089
CVSS2.6
发布时间 :2005-09-28 14:03:00
修订时间 :2010-08-21 00:33:07
NMCOS    

[原文]Firefox 1.0.6 allows attackers to cause a denial of service (crash) via a Proxy Auto-Config (PAC) script that uses an eval statement. NOTE: it is not clear whether an untrusted party has any role in triggering this issue, so it might not be a vulnerability.


[CNNVD]Mozilla Firefox PAC拒绝服务漏洞(CNNVD-200509-286)

        Mozilla Firefox,非正式中文名称火狐,是一个开源 网页浏览器,使用Gecko引擎。
        在Firefox 1.0.6版本中,攻击者可通过使用eval声明的代理服务器自动配置(PAC)脚本触发拒绝服务攻击(崩溃)。注:现在,尚不确定此问题是否由未经授权的第三方引发,所以它也可能不是安全漏洞。

- CVSS (基础分值)

CVSS分值: 2.6 [轻微(LOW)]
机密性影响: NONE [对系统的机密性无影响]
完整性影响: NONE [不会对系统完整性产生影响]
可用性影响: PARTIAL [可能会导致性能下降或中断资源访问]
攻击复杂度: HIGH [漏洞利用存在特定的访问条件]
攻击向量: [--]
身份认证: NONE [漏洞利用无需身份认证]

- CPE (受影响的平台与产品)

cpe:/a:mozilla:firefox:1.0.3Mozilla Firefox 1.0.3
cpe:/a:mozilla:firefox:1.0.6Mozilla Firefox 1.0.6
cpe:/a:mozilla:firefox:1.0.1Mozilla Firefox 1.0.1
cpe:/a:mozilla:firefox:1.0Mozilla Firefox 1.0
cpe:/a:mozilla:firefox:1.0.2Mozilla Firefox 1.0.2
cpe:/a:mozilla:firefox:1.0.5Mozilla Firefox 1.0.5
cpe:/a:mozilla:firefox:1.0.4Mozilla Firefox 1.0.4

- OVAL (用于检测的技术细节)

oval:org.mitre.oval:def:9280Firefox 1.0.6 allows attackers to cause a denial of service (crash) via a Proxy Auto-Config (PAC) script that uses an eval statement. NOTE: ...
*OVAL详细的描述了检测该漏洞的方法,你可以从相关的OVAL定义中找到更多检测该漏洞的技术细节。

- 官方数据库链接

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2005-3089
(官方数据源) MITRE
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2005-3089
(官方数据源) NVD
http://www.cnnvd.org.cn/vulnerability/show/cv_cnnvdid/CNNVD-200509-286
(官方数据源) CNNVD

- 其它链接及资源

http://xforce.iss.net/xforce/xfdb/22371
(PATCH)  XF  mozillafirefox-proxy-dos(22371)
http://www.securityfocus.com/bid/14924
(PATCH)  BID  14924
http://www.mozilla.org/products/firefox/releases/1.0.7.html
(PATCH)  MISC  http://www.mozilla.org/products/firefox/releases/1.0.7.html
http://securitytracker.com/id?1014949
(PATCH)  SECTRACK  1014949
https://bugzilla.mozilla.org/show_bug.cgi?id=302100
(UNKNOWN)  MISC  https://bugzilla.mozilla.org/show_bug.cgi?id=302100
http://www.osvdb.org/19615
(UNKNOWN)  OSVDB  19615
http://www.redhat.com/archives/fedora-legacy-announce/2006-January/msg00004.html
(UNKNOWN)  FEDORA  FLSA-2006:168375
http://secunia.com/advisories/16977
(UNKNOWN)  SECUNIA  16977

- 漏洞信息

Mozilla Firefox PAC拒绝服务漏洞
低危 其他
2005-09-28 00:00:00 2005-10-20 00:00:00
远程  
        Mozilla Firefox,非正式中文名称火狐,是一个开源 网页浏览器,使用Gecko引擎。
        在Firefox 1.0.6版本中,攻击者可通过使用eval声明的代理服务器自动配置(PAC)脚本触发拒绝服务攻击(崩溃)。注:现在,尚不确定此问题是否由未经授权的第三方引发,所以它也可能不是安全漏洞。

- 公告与补丁

        目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
        Mozilla Firefox 1.0
        Mozilla Firefox 1.0.7
        http://www.mozilla.org/products/firefox/
        Mozilla Firefox 1.0.1
        Mozilla Firefox 1.0.7
        http://www.mozilla.org/products/firefox/
        Mozilla Firefox 1.0.2
        Mozilla Firefox 1.0.7
        http://www.mozilla.org/products/firefox/
        Mozilla Firefox 1.0.3
        Mozilla Firefox 1.0.7
        http://www.mozilla.org/products/firefox/
        Mozilla Firefox 1.0.4
        Mozilla Firefox 1.0.7
        http://www.mozilla.org/products/firefox/
        Mozilla Firefox 1.0.5
        Mozilla Firefox 1.0.7
        http://www.mozilla.org/products/firefox/
        Mozilla Firefox 1.0.5
        Mozilla Firefox 1.0.7
        http://www.mozilla.org/products/firefox/
        Mozilla Firefox 1.0.6
        Mozilla Firefox 1.0.7
        http://www.mozilla.org/products/firefox/
        Mozilla Browser 1.7 beta
        Mozilla Mozilla 1.7.12
        http://www.mozilla.org/products/mozilla1.x/
        Mozilla Browser 1.7 rc1
        Mozilla Mozilla 1.7.12
        http://www.mozilla.org/products/mozilla1.x/
        Mozilla Browser 1.7
        Mozilla Mozilla 1.7.12
        http://www.mozilla.org/products/mozilla1.x/
        Mozilla Browser 1.7 rc3
        Mozilla Mozilla 1.7.12
        http://www.mozilla.org/products/mozilla1.x/
        Mozilla Browser 1.7 rc2
        Mozilla Mozilla 1.7.12
        http://www.mozilla.org/products/mozilla1.x/
        Mozilla Browser 1.7 alpha
        Mozilla Mozilla 1.7.12
        http://www.mozilla.org/products/mozilla1.x/
        Mozilla Browser 1.7.1
        Mozilla Mozilla 1.7.12
        http://www.mozilla.org/products/mozilla1.x/
        Mozilla Browser 1.7.11
        Mozilla Mozilla 1.7.12
        http://www.mozilla.org/products/mozilla1.x/
        Mozilla Browser 1.7.2
        Mozilla Mozilla 1.7.12
        http://www.mozilla.org/products/mozilla1.x/
        Mozilla Browser 1.7.3
        Mozilla Mozilla 1.7.12
        http://www.mozilla.org/products/mozilla1.x/
        Mozilla Browser 1.7.4
        Mozilla Mozilla 1.7.12
        http://www.mozilla.org/products/mozilla1.x/
        Mozilla Browser 1.7.5
        Mozilla Mozilla 1.7.12
        http://www.mozilla.org/products/mozilla1.x/
        Mozilla Browser 1.7.6
        Mozilla Mozilla 1.7.12
        http://www.mozilla.org/products/mozilla1.x/
        Mozilla Browser 1.7.7
        Mozilla Mozilla 1.7.12
        http://www.mozilla.org/products/mozilla1.x/
        Mozilla Browser 1.7.8
        Mozilla Mozilla 1.7.12
        http://www.mozilla.org/products/mozilla1.x/

- 漏洞信息

19615
Mozilla Firefox Proxy Auto-Config (PAC) eval Statement DoS
Denial of Service
Loss of Availability
Vendor Verified

- 漏洞描述

- 时间线

2005-09-23 Unknow
Unknow Unknow

- 解决方案

Products

Unknown or Incomplete

- 相关参考

- 漏洞作者

Unknown or Incomplete

- 漏洞信息

Multiple Browser Proxy Auto-Config Script Handling Remote Denial of Service Vulnerability
Failure to Handle Exceptional Conditions 14924
Yes No
2005-09-23 12:00:00 2006-08-01 10:06:00
Discovery is credited to William B. Ackerman <wba@alum.mit.edu>.

- 受影响的程序版本

RedHat Linux 9.0 i386
RedHat Linux 7.3 i686
RedHat Linux 7.3 i386
RedHat Linux 7.3
Red Hat Fedora Core2
Red Hat Fedora Core1
Netscape Browser 8.0.3 .3
Mozilla Firefox 1.0.6
Mozilla Firefox 1.0.5
Mozilla Firefox 1.0.5
Mozilla Firefox 1.0.4
Mozilla Firefox 1.0.3
+ Gentoo Linux
Mozilla Firefox 1.0.2
+ Mandriva Linux Mandrake 10.2 x86_64
+ Mandriva Linux Mandrake 10.2
+ Mandriva Linux Mandrake 10.2
+ Red Hat Enterprise Linux AS 4
+ Red Hat Enterprise Linux AS 4
+ RedHat Desktop 4.0
+ RedHat Desktop 4.0
+ RedHat Enterprise Linux ES 4
+ RedHat Enterprise Linux ES 4
+ RedHat Enterprise Linux WS 4
+ RedHat Enterprise Linux WS 4
Mozilla Firefox 1.0.1
+ Red Hat Fedora Core3
Mozilla Firefox 1.0
+ Gentoo Linux
+ Gentoo Linux
+ S.u.S.E. Linux Personal 9.2 x86_64
+ S.u.S.E. Linux Personal 9.2 x86_64
+ S.u.S.E. Linux Personal 9.2
+ S.u.S.E. Linux Personal 9.2
+ S.u.S.E. Linux Personal 9.1 x86_64
+ S.u.S.E. Linux Personal 9.1 x86_64
+ S.u.S.E. Linux Personal 9.1
+ S.u.S.E. Linux Personal 9.1
+ S.u.S.E. Linux Personal 9.0 x86_64
+ S.u.S.E. Linux Personal 9.0 x86_64
+ S.u.S.E. Linux Personal 9.0
+ S.u.S.E. Linux Personal 9.0
+ Slackware Linux 10.1
+ Slackware Linux 10.0
+ Slackware Linux 10.0
+ Slackware Linux 9.1
+ Slackware Linux 9.1
+ Slackware Linux -current
+ Slackware Linux -current
Mozilla Browser 1.7.11
Mozilla Browser 1.7.9
Mozilla Browser 1.7.8
Mozilla Browser 1.7.7
+ Red Hat Enterprise Linux AS 4
+ Red Hat Enterprise Linux AS 4
+ RedHat Desktop 4.0
+ RedHat Desktop 4.0
+ RedHat Enterprise Linux ES 4
+ RedHat Enterprise Linux ES 4
+ RedHat Enterprise Linux WS 4
+ RedHat Enterprise Linux WS 4
+ Turbolinux Home
+ Turbolinux Home
+ Turbolinux Turbolinux 10 F...
+ Turbolinux Turbolinux 10 F...
+ Turbolinux Turbolinux Desktop 10.0
+ Turbolinux Turbolinux Desktop 10.0
+ Turbolinux Turbolinux Server 10.0
Mozilla Browser 1.7.6
+ HP HP-UX B.11.23
+ HP HP-UX B.11.23
+ HP HP-UX B.11.22
+ HP HP-UX B.11.22
+ HP HP-UX B.11.11
+ HP HP-UX B.11.11
+ HP HP-UX B.11.11
+ HP HP-UX B.11.11
+ HP HP-UX B.11.00
+ HP HP-UX B.11.00
+ Red Hat Enterprise Linux AS 4
+ Red Hat Enterprise Linux AS 4
+ RedHat Desktop 4.0
+ RedHat Desktop 4.0
+ RedHat Enterprise Linux ES 4
+ RedHat Enterprise Linux ES 4
+ RedHat Enterprise Linux WS 4
+ RedHat Enterprise Linux WS 4
+ Turbolinux Home
+ Turbolinux Home
+ Turbolinux Turbolinux 10 F...
+ Turbolinux Turbolinux Desktop 10.0
+ Turbolinux Turbolinux Desktop 10.0
+ Turbolinux Turbolinux Server 10.0
+ Turbolinux Turbolinux Server 10.0
Mozilla Browser 1.7.5
+ HP Tru64 5.1 B-2 PK4 (BL25)
+ HP Tru64 5.1 B-2 PK4
+ HP Tru64 5.1 B-2 PK4
+ HP Tru64 5.1 B PK4
+ HP Tru64 5.1 B PK4
+ HP Tru64 5.1 A PK6 (BL24)
+ HP Tru64 5.1 A PK6 (BL24)
+ HP Tru64 5.1 A PK6
+ HP Tru64 5.1 A PK6
Mozilla Browser 1.7.4
Mozilla Browser 1.7.3
+ HP HP-UX B.11.23
+ HP HP-UX B.11.22
+ HP HP-UX B.11.22
+ HP HP-UX B.11.11
+ HP HP-UX B.11.11
+ HP HP-UX B.11.11
+ HP HP-UX B.11.11
+ HP HP-UX B.11.00
+ HP HP-UX B.11.00
+ HP Tru64 5.1 B-2 PK4 (BL25)
+ HP Tru64 5.1 B-2 PK4 (BL25)
+ HP Tru64 5.1 B-2 PK4
+ HP Tru64 5.1 B-2 PK4
+ HP Tru64 5.1 B PK4
+ HP Tru64 5.1 B PK4
+ HP Tru64 5.1 A PK6 (BL24)
+ HP Tru64 5.1 A PK6 (BL24)
+ HP Tru64 5.1 A PK6
+ HP Tru64 5.1 A PK6
Mozilla Browser 1.7.2
Mozilla Browser 1.7.1
Mozilla Browser 1.7 rc3
Mozilla Browser 1.7 rc2
Mozilla Browser 1.7 rc1
Mozilla Browser 1.7 beta
Mozilla Browser 1.7 alpha
Mozilla Browser 1.7
Mozilla Firefox 1.0.7
Mozilla Browser 1.7.12

- 不受影响的程序版本

Mozilla Firefox 1.0.7
Mozilla Browser 1.7.12

- 漏洞讨论

Multiple browsers are affected by a remote denial-of-service vulnerability when handling proxy auto-config scripts. This can cause a crash in an instance of an affected browser.

Firefox 1.0.6 and prior versions, Netscape Browser 8.0.3.3, and Mozilla 1.7.11 and prior versions are affected by this issue.

- 漏洞利用

An exploit is not required.

- 解决方案

Mozilla 1.7.12 is available to address this issue.

Firefox 1.0.7 is available to address this issue.

Fedora Legacy has released security advisory FLSA:168375 to address this and other issues. Please see the referenced advisory for more information.


Mozilla Firefox 1.0

Mozilla Firefox 1.0.1

Mozilla Firefox 1.0.2

Mozilla Firefox 1.0.3

Mozilla Firefox 1.0.4

Mozilla Firefox 1.0.5

Mozilla Firefox 1.0.5

Mozilla Firefox 1.0.6

Mozilla Browser 1.7 beta

Mozilla Browser 1.7 rc1

Mozilla Browser 1.7

Mozilla Browser 1.7 rc3

Mozilla Browser 1.7 rc2

Mozilla Browser 1.7 alpha

Mozilla Browser 1.7.1

Mozilla Browser 1.7.11

Mozilla Browser 1.7.2

Mozilla Browser 1.7.3

Mozilla Browser 1.7.4

Mozilla Browser 1.7.5

Mozilla Browser 1.7.6

Mozilla Browser 1.7.7

Mozilla Browser 1.7.8

Mozilla Browser 1.7.9

- 相关参考

 

 

关于SCAP中文社区

SCAP中文社区是国内第一个以SCAP为主题的中文开放社区。了解更多信息,请查阅[关于本站]

版权声明

CVE/CWE/OVAL均为MITRE公司的注册商标,它们的官方数据源均保存在MITRE公司的相关网站