検出

Mandriva Linux セキュリティアドバイザリ:nss(MDVSA-2013:050)

medium Nessus プラグイン ID 66064

Language:

概要

リモート Mandriva Linux ホストには、1 つ以上のセキュリティ更新がありません。

説明

Google は、 Mozilla の root プログラムの認証局である TURKTRUST が 2 つの中間証明書を顧客に誤って発行していたことを、Mozilla に報告しました。この問題は、 Firefox 特有のものではなく、証明書の 1 つが、顧客が合法的に所有またはコントロールしていないドメイン名の中間者(MITM)トラフィック管理に使用されていたことを示す証拠が見つかりました。この問題は、これらの特定の誤って発行された証明書に対する信頼を取り消すことにより解決されました(CVE-2013-0743)。

rootcerts パッケージがアップグレードされて、この欠陥が対処され、 Mozilla NSS パッケージが再構築されて変更を取り入れました。

Mozilla Network Security Services(NSS)の TLS の実装では、無効な形式の CBC パディングの処理中に、不適合な MAC チェック操作でのタイミングサイドチャネル攻撃を適切に考慮していません。これにより、リモートの攻撃者は、細工されたパケットのタイミングデータの統計分析を通じて、識別攻撃や平文回復攻撃を仕掛けることができます。これは CVE-2013-0169 に関連する問題です(CVE-2013-1620)。

NSPR パッケージは、新しい NSS の依存関係のため、バージョン 4.9.5 にアップグレードされました。

NSS パッケージは、この問題に対して脆弱ではないバージョン 3.14.3 にアップグレードされています。

sqlite3 の更新は、エクスポート MALLOC_CHECK_=3 の後に svn コミットを使用する際に生じるクラッシュに対処します。

ソリューション

影響を受けるパッケージを更新してください。

参考資料

https://wiki.mageia.org/en/Support/Advisories/MGAA-2012-0234

http://www.mozilla.org/security/announce/2013/mfsa2013-20.html

プラグインの詳細

深刻度: Medium

ID: 66064

ファイル名: mandriva_MDVSA-2013-050.nasl

バージョン: 1.9

タイプ: local

公開日: 2013/4/20

更新日: 2021/1/6

サポートされているセンサー: Nessus

リスク情報

VPR

リスクファクター: Low

スコア: 3.4

CVSS v2

リスクファクター: Medium

基本値: 4.3

現状値: 3.2

ベクトル: CVSS2#AV:N/AC:M/Au:N/C:P/I:N/A:N

脆弱性情報

CPE: p-cpe:/a:mandriva:linux:sqlite3-tcl, p-cpe:/a:mandriva:linux:sqlite3-tools, cpe:/o:mandriva:business_server:1, p-cpe:/a:mandriva:linux:lemon, p-cpe:/a:mandriva:linux:lib64nspr-devel, p-cpe:/a:mandriva:linux:lib64nspr4, p-cpe:/a:mandriva:linux:lib64nss-devel, p-cpe:/a:mandriva:linux:lib64nss-static-devel, p-cpe:/a:mandriva:linux:lib64nss3, p-cpe:/a:mandriva:linux:lib64sqlite3-devel, p-cpe:/a:mandriva:linux:lib64sqlite3-static-devel, p-cpe:/a:mandriva:linux:lib64sqlite3_0, p-cpe:/a:mandriva:linux:nss, p-cpe:/a:mandriva:linux:nss-doc, p-cpe:/a:mandriva:linux:rootcerts, p-cpe:/a:mandriva:linux:rootcerts-java

必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/Mandrake/release, Host/Mandrake/rpm-list

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2013/4/5

参照情報

CVE: CVE-2013-1620

BID: 57258, 57777

MDVSA: 2013:050