RHEL 4:nspr and nss(RHSA-2009:1190)

high Nessus プラグイン ID 63888
New! プラグインの深刻度には CVSS v3 が適用されるようになりました。

プラグインの深刻度は、デフォルトで CVSS v3 を使って計算されるように更新されました。プラグインに CVSS v3 スコアがない場合には、CVSS v2 を使って深刻度が計算されます。深刻度の表示設定は、[設定]のドロップダウンで切り替えができます。

概要

リモート Red Hat ホストに 1 つ以上のセキュリティ更新がありません。

説明

セキュリティ問題およびバグを修正する更新済みの nspr および nss パッケージが、Red Hat Enterprise Linux 4.7 Extended Update Support で現在利用可能です。

Red Hat セキュリティレスポンスチームは、この更新には重大なセキュリティインパクトがあるものとして評価しています。

Netscape Portable Runtime(NSPR)により、非 GUI オペレーティングシステム機能がプラットフォームに依存しなくなります。これらの機能には、スレッド、スレッド同期、通常のファイルとネットワーク I/O、インターバルタイミング、カレンダー時間、基本メモリ管理(malloc および free)、および共有ライブラリリンクを含みます。

Network Security Services(NSS)は、セキュリティが有効なクライアントおよびサーバーのアプリケーションのクロスプラットフォーム開発をサポートするように設計されたライブラリセットです。NSS でビルドされたアプリケーションは SSLv2、SSLv3、TLS、および他のセキュリティ標準をサポートすることができます。

この更新パッケージでは、NSS を過去バージョンの 3.12.2 からプレリリースバージョンの 3.12.4 にアップグレードします。また、NSPR のバージョンも 4.7.3 から 4.7.4 にアップグレードされます。

Moxie Marlinspike 氏は、証明書のコモンネームを照合するために Mozilla Firefox などのブラウザによって使用されるNSS ライブラリの正規表現パーサーに、ヒープオーバーフローの欠陥があることを報告しました。悪意ある Web サイトが、ヒープオーバーフローを発生させ、注意深く細工された証明書を提示することが可能です。これにより、クラッシュを引き起こしたり、ブラウザを実行しているユーザーの権限で任意のコードが実行されたりする可能性があります。
(CVE-2009-2404)

注:Firefox でこれ以上のユーザーインタラクションなしにこの問題を悪用するためには、注意深く細工された証明書に Firefox が信頼する認証局による署名が必要です。この署名がない場合、Firefox は証明書が信頼されないものであることを被害者に警告します。
その後、ユーザーが証明書を受け入れた場合のみ、オーバーフローが発生します。

Dan Kaminsky 氏は、 Firefox などのブラウザが証明書の NULL 文字を処理する方法に欠陥があることを発見しました。攻撃者が、 Firefox が信頼する認証局による署名がある注意深く細工された証明書を取得できた場合、中間者攻撃の最中にこの証明書を使用し、 Firefox を混乱させて誤ってこれを受け入れさせる可能性があります。(CVE-2009-2408)

Dan Kaminsky 氏は、MD2 が強力な暗号化アルゴリズムだと見なされなくなっているにもかかわらず、ブラウザが MD2 ハッシュ署名のある証明書を受け入れていることを見つけました。これにより攻撃者は、悪意のある証明書を簡単に作成して、ブラウザにその証明書を信頼できるものとして処理させる場合があります。現在、NSS は、署名内の MD2 と MD4 のアルゴリズムの使用をデフォルトで無効にしています。(CVE-2009-2409)

また、これらのバージョンアップグレードでは次のバグも修正されます:

* mod_nss モジュールを使用し、NSSOCSP に構成されると、 Apache サーバーに対する SSL クライアントの認証が失敗します。クライアント側では、ユーザーのエージェントは、「Error Code:-12271」を参照し、証明書がホストによって拒否されたため、暗号化された接続が失敗したと記述されたエラーメッセージを受信していました。

サーバー側で、/var/log/httpd/ の下の nss_error_log に次のメッセージが含まれていました:

[エラー] 再ネゴシエーションハンドシェイクが失敗しました:クライアントに受け入れられないのでしょうか?

また、/var/log/httpd/error_log に次のエラーが含まれていました:

SSL ライブラリエラー:-8071 OCSP サーバーで内部エラーが発生しました

これらの更新済みパッケージでは、この失敗の原因になる依存関係の問題が解決されているため、NSSOCSP に対して構成される mod_nss を使用する Apache Web サーバーとの SSL クライアント認証は期待通りに成功します。なお、提示されたクライアント証明書が期限切れの場合、アクセスは拒否され、ユーザーエージェントには無効な証明書に関するエラーメッセージが提示されます。また、OCSP レスポンダーに OCSP クエリが表示されます。また、インスタンスの起動または再起動時に、類似する OCSP ステータス検証が、 Apache で使用されるSSL サーバー証明書に対して発生します。(BZ#508026)

* NSS ではソフトウェア整合性テストを使用して、コード破損を検出します。RPM トランザクションおよびシステムリンク最適化デーモン(prelink など)が、ライブラリのコンテンツを変更して、ソフトウェア整合性テストを失敗させる可能性があります。更新済みの prelink パッケージ(RHBA-2009:1041)との組み合わせで、これらの更新済みのパッケージは現在、ソフトウェア整合性テストの失敗を防止できます。(BZ#495938)

nspr および nss の全ユーザーは、これらの更新済みパッケージにアップグレードし、これらの問題を解決することが推奨されます。

ソリューション

影響を受けるパッケージを更新してください。

関連情報

https://www.redhat.com/security/data/cve/CVE-2009-2404.html

https://www.redhat.com/security/data/cve/CVE-2009-2408.html

https://www.redhat.com/security/data/cve/CVE-2009-2409.html

http://rhn.redhat.com/errata/RHSA-2009-1190.html

プラグインの詳細

深刻度: High

ID: 63888

ファイル名: redhat-RHSA-2009-1190.nasl

バージョン: 1.12

タイプ: local

エージェント: unix

公開日: 2013/1/24

更新日: 2021/1/14

依存関係: ssh_get_info.nasl

リスク情報

VPR

リスクファクター: Medium

スコア: 5.9

CVSS v2

リスクファクター: High

Base Score: 9.3

Temporal Score: 6.9

ベクトル: AV:N/AC:M/Au:N/C:C/I:C/A:C

現状ベクトル: E:U/RL:OF/RC:C

脆弱性情報

CPE: p-cpe:/a:redhat:enterprise_linux:nspr, p-cpe:/a:redhat:enterprise_linux:nspr-devel, p-cpe:/a:redhat:enterprise_linux:nss, p-cpe:/a:redhat:enterprise_linux:nss-devel, cpe:/o:redhat:enterprise_linux:4.7

必要な KB アイテム: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2009/7/31

参照情報

CVE: CVE-2009-2404, CVE-2009-2408, CVE-2009-2409

BID: 35888, 35891

RHSA: 2009:1190

CWE: 119, 310