MiracleLinux 4nss-3.16.1-4.AXS4、nss-util-3.16.1-1.AXS4、nspr-4.10.6-1.AXS4AXSA:2014-467:02
critical Nessus プラグイン ID 289418
Language:
概要
リモートのMiracleLinuxホストに1つ以上のセキュリティ更新プログラムがありません。説明
リモートの MiracleLinux 4 ホストには、AXSA:2014-467:02 アドバイザリに記載されているように、複数の脆弱性の影響を受けるパッケージがインストールされています。説明:
nss Network Security ServicesNSSは、セキュリティ対応のクライアントおよびサーバーアプリケーションのクロスプラットフォーム開発をサポートするために設計されたライブラリのセットです。NSS で構築されたアプリケーションは、SSL v2 および v3、TLS、PKCS #5、PKCS #7、PKCS #11、PKCS #12、S/MIME、X.509 v3 証明書、およびその他のセキュリティ標準をサポートできます。
nspr NSPR は、非 GUI オペレーティングシステム機能のプラットフォーム依存性を提供します。これらの機能には、スレッド、スレッド同期、通常のファイルおよびネットワーク I/O、間隔タイミングおよびカレンダー時間、基本的なメモリ管理 (malloc および free) および共有ライブラリリンクが含まれます。
ネットワークセキュリティサービスおよび Softoken モジュール用の nss-util ユーティリティこのリリースで修正されたセキュリティの問題
CVE-2013-17403.15.4より前の Mozilla Network Security ServicesNSSにおいて、libssl での sslsecur.c にある ssl_Do1stHandshake 関数により、TLS False Start 機能が有効である場合、中間者攻撃者は、任意の X を使用することで、SSL サーバーになりすますことができます。特定のハンドシェイクトラフィック中に .509 証明書を実行する可能性があります。
CVE-2014-14903.15.4より前の Mozilla Firefox、 27.0より前の Firefox ESR 24.x ]、 24.3より前の Thunderbird、 24.3より前の SeaMonkey、およびその他の製品で使用されている、 2.24より前の Mozilla Network Security ServicesNSSの libssl の競合状態により、リモートの攻撃者が、セッションチケットの不適切な置換を発生させる再開ハンドシェイクに関連するベクトルを介して、サービス拒否use-after-freeを引き起こしたり、おそらくは詳細不明なその他の影響を及ぼしたりする可能性があります。
CVE-2014-14913.15.4より前の Mozilla Firefox、 27.0より前の Firefox ESR 、 24.x24.3より前の Thunderbird、 24.3より前の SeaMonkey、およびその他の製品で使用される 2.24より前の Mozilla Network Security ServicesNSSは、パブリック値を適切に制限しません。これにより、リモートの攻撃者が特定の値の使用を利用して、チケット処理の暗号保護メカニズムをバイパスすることがより簡単になります。
CVE-2014-14923.16 以前の Mozilla Network Security ServicesNSSでの証明書チェックの実装において、lib/certdb/certdb.c 内の cert_TestHostName 関数は、国際化ドメイン名の U-label に組み込まれたワイルドカード文字を受け取ります。これにより、man が中間者攻撃者が、細工された証明書を介して SSL サーバーを偽装する可能性があります。
CVE-2014-1544 Mozilla Network Security ServicesNSSの libnss3.so の CERT_DestoryCertificate 関数にある use-after-free の脆弱性が 24.7、 3.x31.0より前の Firefox、 より前の Firefox ESR 、 24.x24.7より前の Thunderbird で使用されるように、リモートの攻撃者が、信頼ドメインから NSSCertificate 構造の特定の不適切な削除をトリガーするベクターを通じて任意のコードを実行することが可能です。
4.10.6CVE-2014-1545 Mozilla Netscape Portable RuntimeNSPR 以前では、リモートの攻撃者が、sprintf およびコンソール機能が含まれているベクトルを介して、任意のコードを実行すること、またはサービス拒否領域外書込みを引き起こすことができます。
拡張機能
nss ans nss-util パッケージが Upstream バージョン 3.16.1にアップグレードされており、また nspr パッケージが Upstream バージョン 4.10.6にアップグレードされています。
Tenableは、前述の記述ブロックをMiracleLinuxセキュリティアドバイザリから直接抽出しています。
Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。
ソリューション
影響を受けるパッケージを更新してください。参考資料
プラグインの詳細
深刻度: Critical
ID: 289418
ファイル名: miracle_linux_AXSA-2014-467.nasl
バージョン: 1.1
タイプ: local
公開日: 2026/1/16
更新日: 2026/1/16
サポートされているセンサー: Nessus Agent, Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 6.7
Vendor
Vendor Severity: High
CVSS v2
リスクファクター: Critical
基本値: 10
現状値: 7.8
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C
CVSS スコアのソース: CVE-2014-1545
CVSS v3
リスクファクター: Critical
基本値: 9.8
現状値: 8.8
ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
現状ベクトル: CVSS:3.0/E:P/RL:O/RC:C
脆弱性情報
CPE: p-cpe:/a:miracle:linux:nspr-devel, p-cpe:/a:miracle:linux:nss-util, p-cpe:/a:miracle:linux:nspr, p-cpe:/a:miracle:linux:nss-util-devel, p-cpe:/a:miracle:linux:nss-sysinit, cpe:/o:miracle:linux:4, p-cpe:/a:miracle:linux:nss-devel, p-cpe:/a:miracle:linux:nss, p-cpe:/a:miracle:linux:nss-tools
必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/MiracleLinux/release, Host/MiracleLinux/rpm-list
エクスプロイトが利用可能: true
エクスプロイトの容易さ: Exploits are available
パッチ公開日: 2014/7/25
脆弱性公開日: 2014/1/9
参照情報
CVE: CVE-2013-1740, CVE-2014-1490, CVE-2014-1491, CVE-2014-1492, CVE-2014-1544, CVE-2014-1545