検出

Oracle Linux 7:pki-core(ELSA-2018-1979)

high Nessus プラグイン ID 110750

Language:

概要

リモートのOracle Linuxホストに、1つ以上のセキュリティ更新がありません。

説明

出典:Red Hatセキュリティアドバイザリ2018:1979:pki-coreの更新プログラムが、Red Hat Enterprise Linux 7で利用可能になりました。Red Hat製品セキュリティは、この更新がセキュリティに及ぼす影響を重要度中として評価しています。詳細な重要度評価を示すCVSS(共通脆弱性評価システム)ベーススコアは、「参照」セクションのCVEリンクから脆弱性ごとに入手できます。公開鍵暗号基盤(PKI)コアには、Red Hat Certificate Systemに必要な基本パッケージが含まれています。セキュリティ修正プログラム:* pki-core:AAclAuthz.javaの誤ったACL構成による、アクセスを許可および拒否するルールの取り消し(CVE-2018-1080)影響、CVSSスコア、その他の関連情報を含むセキュリティの問題の詳細については、「参照」セクションに記載されているCVEのページを参照してください。この問題は、Fraser Tweedale氏(Red Hat)によって発見されました。バグ修正プログラム:*これまで、ECCキーが登録されるとき、CMS(CMC)認証を使用した証明書管理が次のエラーで失敗していました。「TokenException:一時データベースに証明書を挿入できません」その結果、登録ができませんでした。この更新により問題が修正されます。結果として、前述のバグが発生することはありません。(BZ#1550581)*これまで、証明書システムはRSA証明書とECC証明書の発行に同じ登録プロファイルを使用していました。その結果、発行された証明書の主要な用途拡張機能が、セキュリティ評価基準(Common Criteria)を満たしていませんでした。この更新プログラムでは、RFC 6960で説明されているとおり、TLSサーバーとクライアント証明書で主要な用途拡張機能が異なる、ECC固有の登録プロファイルが追加されます。さらに、この更新プログラムはRSA証明書のみを発行するために、既存のプロファイルを変更します。その結果、ECC証明書の主要な拡張機能が、セキュリティ評価基準(Common Criteria)を満たすようになります。(BZ#1554726)*証明書システムサーバーが、無効なアクセス制御リスト(ACL)の保存を拒否します。結果として、空の式でACLを保存すると、サーバーが更新を拒否し、pkiconsoleのユーティリティはStringIndexOutOfBoundsExceptionエラーを表示しました。この更新プログラムでは、ユーティリティが空のACL式を拒否します。その結果、無効なACLは保存されず、エラーは表示されなくなります。(BZ#1557883)*これまで、証明書システムのインストール処理のバグにより、ECCキー付きのKRA(Key Recovery Authority)のインストールに失敗していました。この問題を解決するために、RSAサブシステムとECCサブシステムの両方を自動的に処理するよう、インストールプロセスが更新されました。その結果、ECCキーを使用したサブシステムのインストールが失敗することはなくなりました。(BZ#1581134)*これまで、検証中に、証明書システムがCMC証明書要求メッセージフォーマット(CRMF)リクエストにおいてECC公開鍵を正しくエンコードしていませんでした。その結果、CRMFのCMS(CMC)で証明書管理を使用してECC証明書をリクエストできませんでした。このバグは修正されたため、ECCキーを使用したCMC CRMFリクエストは正常に動作します。(BZ#1585945)拡張機能:* pkispawn manページが更新され、--skip-configurationと--skip-installationの各パラメーターが記述されます。(BZ#1551067)*この更新プログラムでは、証明書システムが、デフォルトでサーバー証明書にサブジェクト代替名(SAN)拡張機能を追加し、証明書のコモンネーム(CN)に設定します。(BZ#1581135)*この拡張機能で、CRMFPopClientユーティリティを使用するとき、ユーザーはキーアーカイブオプションなしで証明書要求メッセージフォーマット(CRMF)リクエストを作成できるようになります。この機能により、KRA(Key Recovery Authority)証明書が不要になるため、柔軟性が向上します。これまで、ユーザーが「-b transport_certificate_file」オプションをCRMFPopClientに渡さなかった場合、ユーティリティは自動的にtransport.txtファイルに格納されたKRAトランスポート証明書を使用していました。この更新プログラムでは、「-b transport_certificate_file」が指定されていない場合、証明書システムはキーアーカイブを使用せずにリクエストを作成します。(BZ#1588945)

ソリューション

影響を受けるpki-coreパッケージを更新してください。

参考資料

https://oss.oracle.com/pipermail/el-errata/2018-June/007817.html

プラグインの詳細

深刻度: High

ID: 110750

ファイル名: oraclelinux_ELSA-2018-1979.nasl

バージョン: 1.4

タイプ: local

エージェント: unix

公開日: 2018/6/28

更新日: 2019/9/27

サポートされているセンサー: Frictionless Assessment Agent, Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 5.9

CVSS v2

リスクファクター: Medium

基本値: 6.8

ベクトル: CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P

CVSS v3

リスクファクター: High

基本値: 8.1

ベクトル: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H

脆弱性情報

CPE: p-cpe:/a:oracle:linux:pki-base, p-cpe:/a:oracle:linux:pki-base-java, p-cpe:/a:oracle:linux:pki-ca, p-cpe:/a:oracle:linux:pki-javadoc, p-cpe:/a:oracle:linux:pki-kra, p-cpe:/a:oracle:linux:pki-server, p-cpe:/a:oracle:linux:pki-symkey, p-cpe:/a:oracle:linux:pki-tools, cpe:/o:oracle:linux:7

必要な KB アイテム: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/OracleLinux

パッチ公開日: 2018/6/27

脆弱性公開日: 2018/7/3

参照情報

CVE: CVE-2018-1080

RHSA: 2018:1979