Scientific Linux セキュリティ更新:i386/x86_64 の SL 4.x のための nspr と nss

high Nessus プラグイン ID 60631
New! プラグインの深刻度には CVSS v3 が適用されるようになりました。

プラグインの深刻度は、デフォルトで CVSS v3 を使って計算されるように更新されました。プラグインに CVSS v3 スコアがない場合には、CVSS v2 を使って深刻度が計算されます。深刻度の表示設定は、[設定]のドロップダウンで切り替えができます。

概要

リモート Scientific Linux ホストに 1 つ以上のセキュリティ更新がありません。

説明

CVE-2009-2409 SSL 証明書検証の MD2 を非推奨にします(Kaminsky)CVE-2009-2408 firefox/nss:Common Name で NULL を適切に処理しません CVE-2009-2404 nss 正規表現のヒープオーバーフロー

Netscape Portable Runtime(NSPR)により、非 GUI オペレーティングシステム機能がプラットフォームに依存しなくなります。これらの機能には、スレッド、スレッド同期、通常のファイルとネットワーク I/O、インターバルタイミング、カレンダー時間、基本メモリ管理(malloc および free)、および共有ライブラリリンクを含みます。

Network Security Services(NSS)は、セキュリティが有効なクライアントおよびサーバーのアプリケーションのクロスプラットフォーム開発をサポートするライブラリセットです。NSS でビルドされたアプリケーションは SSLv2、SSLv3、TLS、および他のセキュリティ標準をサポートすることができます。

この更新パッケージでは、NSS を過去バージョンの 3.12.2 からプレリリースバージョンの 3.12.4 にアップグレードします。また、NSPR のバージョンも 4.7.3 から 4.7.4 にアップグレードされます。

Moxie Marlinspike 氏は、証明書のコモンネームを照合するために Mozilla Firefox などのブラウザによって使用されるNSS ライブラリの正規表現パーサーに、ヒープオーバーフローの欠陥があることを報告しました。悪意ある Web サイトが、ヒープオーバーフローを発生させ、注意深く細工された証明書を提示することが可能です。これにより、クラッシュを引き起こしたり、ブラウザを実行しているユーザーの権限で任意のコードが実行されたりする可能性があります。
(CVE-2009-2404)

注:Firefox でこれ以上のユーザーインタラクションなしにこの問題を悪用するためには、注意深く細工された証明書に Firefox が信頼する認証局による署名が必要です。この署名がない場合、Firefox は証明書が信頼されないものであることを被害者に警告します。
その後、ユーザーが証明書を受け入れた場合のみ、オーバーフローが発生します。

Dan Kaminsky 氏は、 Firefox などのブラウザが証明書の NULL 文字を処理する方法に欠陥があることを発見しました。攻撃者が、 Firefox が信頼する認証局による署名がある注意深く細工された証明書を取得できた場合、中間者攻撃の最中にこの証明書を使用し、 Firefox を混乱させて誤ってこれを受け入れさせる可能性があります。(CVE-2009-2408)

Dan Kaminsky 氏は、MD2 が強力な暗号化アルゴリズムだと見なされなくなっているにもかかわらず、ブラウザが MD2 ハッシュ署名のある証明書を受け入れていることを見つけました。これにより攻撃者は、悪意のある証明書を簡単に作成して、ブラウザにその証明書を信頼できるものとして処理させる場合があります。現在、NSS は、署名内の MD2 と MD4 のアルゴリズムの使用をデフォルトで無効にしています。(CVE-2009-2409)

また、これらのバージョンアップグレードでは次のバグも修正されます:

- mod_nss モジュールを使用し、NSSOCSP に構成されると、Apache サーバーに対する SSL クライアントの認証が失敗します。クライアント側では、ユーザーのエージェントは、「Error Code :- -12271」を参照し、

証明書がホストによって拒否されたため、暗号化された接続が失敗したと記述されたエラーメッセージを受信していました。

サーバー側で、/var/log/httpd/ の下の nss_error_log に次のメッセージが含まれていました:

[エラー] 再ネゴシエーションハンドシェイクが失敗しました:クライアントに受け入れられないのでしょうか?

また、/var/log/httpd/error_log に次のエラーが含まれていました:

SSL ライブラリエラー:-8071 OCSP サーバーで内部エラーが発生しました

これらの更新済みパッケージでは、この失敗の原因になる依存関係の問題が解決されているため、NSSOCSP に対して構成される mod_nss を使用する Apache Web サーバーとの SSL クライアント認証は期待通りに成功します。なお、提示されたクライアント証明書が期限切れの場合、アクセスは拒否され、ユーザーエージェントには無効な証明書に関するエラーメッセージが提示されます。また、OCSP レスポンダーに OCSP クエリが表示されます。また、インスタンスの起動または再起動時に、類似する OCSP ステータス検証が、 Apache で使用されるSSL サーバー証明書に対して発生します。(BZ#508027)

ソリューション

影響を受けるパッケージを更新してください。

関連情報

https://bugzilla.redhat.com/show_bug.cgi?id=508027

http://www.nessus.org/u?577411ae

プラグインの詳細

深刻度: High

ID: 60631

ファイル名: sl_20090731_nspr_and_nss_for_SL_4_x.nasl

バージョン: 1.7

タイプ: local

エージェント: unix

公開日: 2012/8/1

更新日: 2021/1/14

依存関係: ssh_get_info.nasl

リスク情報

VPR

リスクファクター: Medium

スコア: 5.9

CVSS v2

リスクファクター: High

Base Score: 9.3

ベクトル: AV:N/AC:M/Au:N/C:C/I:C/A:C

脆弱性情報

CPE: x-cpe:/o:fermilab:scientific_linux

必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/RedHat/release, Host/RedHat/rpm-list

脆弱性公開日: 2009/7/30

参照情報

CVE: CVE-2009-2404, CVE-2009-2408, CVE-2009-2409

CWE: 119, 310