検出

MiracleLinux 7nspr-4.25.0-2.el7、nss-softokn-3.53.1-6.el7、nss-3.53.1-3.0.1.el7.AXS7、nss-util-3.53.1-1.el7 AXSA:2020-683:02

critical Nessus プラグイン ID 294014

Language:

概要

リモート MiracleLinux ホストに 1 つ以上のセキュリティ更新がありません。

説明

リモートのMiracleLinux 7ホストには、AXSA:2020-683:02アドバイザリに記載されているとおり、複数の脆弱性の影響を受けるパッケージがインストールされています。

 nsscurve25519 秘密鍵をインポートする際の領域外読み取りCVE-2019-11719nss不適切な refcounting による sftk_FreeSession での use-after-freeCVE-2019-11756] nss暗号化プリミティブの入力長をチェックCVE-2019-17006nssSide ECDSA 署名生成に対する攻撃CVE-2020-6829nssP-384 と P-521 の実装では、サイドチャネル脆弱性のあるモジュラー反転関数を使用していますCVE-2020-12400nssECDSA タイミング攻撃緩和策のバイパスCVE-2020-12401] nss 実行中のサイドチャネル脆弱性RSA キーの生成CVE-2020-12402nss: CHACHA20-POLY1305 アンダーサイズのタグによる復号化により、領域外読み取りが引き起こされますCVE-2020-12403nss: PKCS#1 v1.5 署名が TLS に使用できます 1.3CVE-2019-11727] nss TLS 1.3 HelloRetryRequest ダウングレードリクエストにより、クライアントが無効な状態に設定されますCVE-2019-17023] CVE-2019-11719 CVE-2019-11756 CVE-2019-17006 CVE-2020-6829 CVE-2020-12400 CVE-2020-12401 CVE-2020-12402 CVE-2020-12403 CVE-2019-11727 CVE-2019-17023 バグ修正プログラム
 メモリ漏洩libcurl は各接続で 120 バイトを漏洩します NSS は TLS 1.0 および TLS 1.1 の ServerHello.random でダウングレード sendinel を設定しません TLS 1.3 を FIPS モードで動作するようにします 名の制約の検証構文的に無効な場合でも、CN は DNS 名として扱われますDNS 名 x25519 が FIPS モードで許可されます。NSS_SDB_USE_CACHE が設定されていない場合、curl アクセス https 後、dentry が増加しますがリリースされません - sdb_measureAccess のベンチマーク ACCESS 呼び出しに対して代替アルゴリズムを検討します。ipa-backup を継続的に実行すると、httpd がクラッシュし、nss が回復不能になり、nss は に準拠する必要があります。新しい SP800-56A rev 3 要件 nss に対する KDF 自己テスト誘導の変更

Tenableは、前述の記述ブロックをMiracleLinuxセキュリティアドバイザリから直接抽出しています。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

影響を受けるパッケージを更新してください。

参考資料

https://tsn.miraclelinux.com/en/node/11864

プラグインの詳細

深刻度: Critical

ID: 294014

ファイル名: miracle_linux_AXSA-2020-683.nasl

バージョン: 1.1

タイプ: local

公開日: 2026/1/20

更新日: 2026/1/20

サポートされているセンサー: Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 6.7

Vendor

Vendor Severity: High

CVSS v2

リスクファクター: Critical

基本値: 10

現状値: 7.8

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

CVSS スコアのソース: CVE-2019-17006

CVSS v3

リスクファクター: Critical

基本値: 9.8

現状値: 8.8

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

現状ベクトル: CVSS:3.0/E:P/RL:O/RC:C

脆弱性情報

CPE: cpe:/o:miracle:linux:7, p-cpe:/a:miracle:linux:nss-softokn-freebl, p-cpe:/a:miracle:linux:nss-softokn-devel, p-cpe:/a:miracle:linux:nss-softokn-freebl-devel, p-cpe:/a:miracle:linux:nss-softokn, p-cpe:/a:miracle:linux:nspr-devel, p-cpe:/a:miracle:linux:nss-util, p-cpe:/a:miracle:linux:nspr, p-cpe:/a:miracle:linux:nss-util-devel, p-cpe:/a:miracle:linux:nss-sysinit, p-cpe:/a:miracle:linux:nss-devel, p-cpe:/a:miracle:linux:nss, p-cpe:/a:miracle:linux:nss-tools

必要な KB アイテム: Host/local_checks_enabled, Host/MiracleLinux/release, Host/MiracleLinux/rpm-list, Host/cpu

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2020/10/23

脆弱性公開日: 2019/7/9

参照情報

CVE: CVE-2019-11719, CVE-2019-11727, CVE-2019-11756, CVE-2019-17006, CVE-2019-17023, CVE-2020-12400, CVE-2020-12401, CVE-2020-12402, CVE-2020-12403, CVE-2020-6829