MiracleLinux 3nss-3.16.1-2.AXS3AXSA:2014-538:03
critical Nessus プラグイン ID 290054
Language:
概要
リモートのMiracleLinuxホストに1つ以上のセキュリティ更新プログラムがありません。説明
リモートの MiracleLinux 3 ホストには、AXSA:2014-538:03 アドバイザリで言及されているように、複数の脆弱性の影響を受けるパッケージがインストールされています。説明:
ネットワークセキュリティサービス (NSS) は、セキュリティが有効なクライアントおよびサーバーのアプリケーションのクロスプラットフォーム開発をサポートするために設計された一連のライブラリです。NSS で構築されたアプリケーションは、SSL v2 および v3、TLS、PKCS #5、PKCS #7、PKCS #11、PKCS #12、S/MIME、X.509 v3 証明書、およびその他のセキュリティ標準をサポートできます。
このリリースで修正されたセキュリティ問題
CVE-2013-17403.15.4より前の Mozilla Network Security ServicesNSSにおいて、libssl での sslsecur.c にある ssl_Do1stHandshake 関数により、TLS False Start 機能が有効である場合、中間者攻撃者は、任意の X を使用することで、SSL サーバーになりすますことができます。特定のハンドシェイクトラフィック中に .509 証明書を実行する可能性があります。
CVE-2014-14903.15.4より前の Mozilla Firefox、 27.0より前の Firefox ESR 24.x ]、 24.3より前の Thunderbird、 24.3より前の SeaMonkey、およびその他の製品で使用されている、 2.24より前の Mozilla Network Security ServicesNSSの libssl の競合状態により、リモートの攻撃者が、セッションチケットの不適切な置換を発生させる再開ハンドシェイクに関連するベクトルを介して、サービス拒否use-after-freeを引き起こしたり、おそらくは詳細不明なその他の影響を及ぼしたりする可能性があります。
CVE-2014-14913.15.4より前の Mozilla Firefox、 27.0より前の Firefox ESR 、 24.x24.3より前の Thunderbird、 24.3より前の SeaMonkey、およびその他の製品で使用される 2.24より前の Mozilla Network Security ServicesNSSは、パブリック値を適切に制限しません。これにより、リモートの攻撃者が特定の値の使用を利用して、チケット処理の暗号保護メカニズムをバイパスすることがより簡単になります。
CVE-2014-14923.16 以前の Mozilla Network Security ServicesNSSでの証明書チェックの実装において、lib/certdb/certdb.c 内の cert_TestHostName 関数は、国際化ドメイン名の U-label に組み込まれたワイルドカード文字を受け取ります。これにより、man が中間者攻撃者が、細工された証明書を介して SSL サーバーを偽装する可能性があります。
4.10.6CVE-2014-1545 Mozilla Netscape Portable RuntimeNSPR 以前では、リモートの攻撃者が、sprintf およびコンソール機能が含まれているベクトルを介して、任意のコードを実行すること、またはサービス拒否領域外書込みを引き起こすことができます。
修正済みのバグ
* 以前は、システムに output.log ファイルがない場合、 Network Security ServicesNSS仕様のシェルがテスト結果の偽陽性として誤って処理されていました。そのため、grep などの特定のユーティリティは、障害を適切に処理できませんでした。この更新で、 はこれを修正しました。
* 以前は、ANSSI エージェンシーの下位認証局CAが、ネットワーク監視デバイスにインストールする中間証明書を不適切に発行していました。そのため、監視デバイスは、証明書の所有者が所有または制御しないドメイン名または IP アドレスのトラフィック管理を実行する MITM中間者プロキシとして動作することが有効化されていました。MITM デバイスの証明書を発行するための中間証明書の信頼が取り消され、このようなデバイスを MITM 攻撃に使用することが不可能となりました。
* 以前は、デフォルトで MD5 証明書が拒絶されていました。これは、ネットワークセキュリティサービスNSSが MD5 証明書を信頼していなかったためです。この更新で、 はこれを修正しました。
Tenableは、前述の記述ブロックをMiracleLinuxセキュリティアドバイザリから直接抽出しています。
Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。
ソリューション
影響を受ける nss、nss-devel および/または nss-tools パッケージを更新してください。参考資料
プラグインの詳細
深刻度: Critical
ID: 290054
ファイル名: miracle_linux_AXSA-2014-538.nasl
バージョン: 1.1
タイプ: local
公開日: 2026/1/16
更新日: 2026/1/16
サポートされているセンサー: Nessus Agent, Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 5.9
Vendor
Vendor Severity: Moderate
CVSS v2
リスクファクター: Critical
基本値: 10
現状値: 7.8
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C
CVSS スコアのソース: CVE-2014-1545
CVSS v3
リスクファクター: Critical
基本値: 9.8
現状値: 8.8
ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
現状ベクトル: CVSS:3.0/E:P/RL:O/RC:C
脆弱性情報
CPE: cpe:/o:miracle:linux:3, p-cpe:/a:miracle:linux:nss-devel, p-cpe:/a:miracle:linux:nss-tools, p-cpe:/a:miracle:linux:nss
必要な KB アイテム: Host/local_checks_enabled, Host/MiracleLinux/release, Host/MiracleLinux/rpm-list, Host/cpu
エクスプロイトが利用可能: true
エクスプロイトの容易さ: Exploits are available
パッチ公開日: 2014/9/22
脆弱性公開日: 2014/1/9
参照情報
CVE: CVE-2013-1740, CVE-2014-1490, CVE-2014-1491, CVE-2014-1492, CVE-2014-1545