Mandriva Linux セキュリティアドバイザリ:nss(MDVSA-2010:069)

medium Nessus プラグイン ID 45449

言語:

New! プラグインの深刻度には CVSS v3 が適用されるようになりました。

プラグインの深刻度は、デフォルトで CVSS v3 を使って計算されるように更新されました。プラグインに CVSS v3 スコアがない場合には、CVSS v2 を使って深刻度が計算されます。深刻度の表示設定は、[設定]のドロップダウンで切り替えができます。

概要

リモート Mandriva Linux ホストには、1 つ以上のセキュリティ更新がありません。

説明

nss で、次の脆弱性が見つかり、修正されています:

Microsoft Internet Information Services(IIS)7.0、Apache HTTP サーバー 2.2.14 以前での mod_ssl、0.9.8l より前の OpenSSL、GnuTLS 2.8.5 以前、Mozilla Network Security Services(NSS)3.12.4 以前などの製品で使用される TLS プロトコルおよび SSL プロトコル 3.0(おそらくそれ以前)は、再ネゴシエーションのハンドシェイクを既存の接続に適切に関連付けていません。これにより、中間者攻撃者は「平文インジェクション」攻撃(別名「プロジェクトモーグル」)の問題に関連して、再ネゴシエーション後のコンテキストで、サーバーが遡及的に処理する未認証のリクエストを送信することにより、HTTPS セッションおよび TLS や SSL で保護された他のタイプのセッションにデータを挿入できます。(CVE-2009-3555)。

さらに、NSPR パッケージは 4.8.4 にアップグレードされており、数多くの Upstream の修正を取り入れています。

Corporate Desktop 2008.0 のお客様向けに 2008.0 用パッケージが用意されています。

この更新では、最新バージョンの NSS および NSPR のライブラリを提供しているため、NSS はこの攻撃に脆弱ではありません。

ソリューション

影響を受けるパッケージを更新してください。

関連情報

http://www.mozilla.org/security/announce/2010/mfsa2010-22.html

プラグインの詳細

深刻度: Medium

ID: 45449

ファイル名: mandriva_MDVSA-2010-069.nasl

バージョン: 1.18

タイプ: local

公開日: 2010/4/9

更新日: 2021/1/6

依存関係: ssh_get_info.nasl

リスク情報

VPR

リスクファクター: Low

スコア: 3.3

CVSS v2

リスクファクター: Medium

Base Score: 5.8

Temporal Score: 4.5

ベクトル: AV:N/AC:M/Au:N/C:N/I:P/A:P

現状ベクトル: E:POC/RL:OF/RC:C

脆弱性情報

CPE: p-cpe:/a:mandriva:linux:lib64nspr-devel, p-cpe:/a:mandriva:linux:lib64nspr4, p-cpe:/a:mandriva:linux:lib64nss-devel, p-cpe:/a:mandriva:linux:lib64nss-static-devel, p-cpe:/a:mandriva:linux:lib64nss3, p-cpe:/a:mandriva:linux:libnspr-devel, p-cpe:/a:mandriva:linux:libnspr4, p-cpe:/a:mandriva:linux:libnss-devel, p-cpe:/a:mandriva:linux:libnss-static-devel, p-cpe:/a:mandriva:linux:libnss3, p-cpe:/a:mandriva:linux:nss, cpe:/o:mandriva:linux:2008.0, cpe:/o:mandriva:linux:2009.0, cpe:/o:mandriva:linux:2009.1, cpe:/o:mandriva:linux:2010.0

必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/Mandrake/release, Host/Mandrake/rpm-list

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2010/4/6

参照情報

CVE: CVE-2009-3555

BID: 36935

MDVSA: 2010:069

CWE: 310