検出

Oracle Linux 4:gnutls(ELSA-2006-0680)

medium Nessus プラグイン ID 67410

Language:

概要

リモート Oracle Linux ホストに、1 つ以上のセキュリティ更新がありません。

説明

Red Hat セキュリティアドバイザリ 2006:0680 から:

セキュリティ問題を修正する更新済みの gnutls パッケージが Red Hat Enterprise Linux 4 で現在利用可能です。

Red Hat セキュリティレスポンスチームは、この更新に重大なセキュリティインパクトがあると評価しています。

GnuTLS ライブラリは、暗号アルゴリズムおよび TLS のようなプロトコルのサポートを提供します。GnuTLS には、DER エンコーディングおよびデコーディングを含む ASN.1 構造管理のために開発されたライブラリである libtasn1 が含まれています。

Daniel Bleichenbacher 氏は PKCS #1 v1.5 署名の攻撃について最近説明しました。指数 3 の RSA キーを使用すると、攻撃者が PKCS #1 v1.5 の署名を偽造する可能性があり、これによって当該の署名が、署名の RSA 累乗結果の過剰データをチェックしない実装により不適切に認証されます。

コア GnuTLS チームは、GnuTLS が別の Bleichenbacker 攻撃に脆弱であることを発見しました。この問題は、GnuTLS を使用して X.509 証明書および PKCS #1 v1.5 の使用方法を検証するアプリケーションに影響を与えます。(CVE-2006-4790)

Red Hat Enterprise Linux 4 では、GnuTLS ライブラリは、Evolution クライアントが Exchange サーバーに接続する際、または WebDAV サーバーにカレンダー情報を公開する際にのみ使用されています。

ユーザーは、GnuTLS メンテナーによる、バックポートされたパッチが含まれる、これらの更新パッケージへアップグレードし、この問題を修正することが推奨されます。

ソリューション

影響を受ける GnuTLS パッケージを更新してください。

参考資料

https://oss.oracle.com/pipermail/el-errata/2006-November/000006.html

プラグインの詳細

深刻度: Medium

ID: 67410

ファイル名: oraclelinux_ELSA-2006-0680.nasl

バージョン: 1.9

タイプ: local

エージェント: unix

公開日: 2013/7/12

更新日: 2021/1/14

サポートされているセンサー: Frictionless Assessment Agent, Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Low

スコア: 3.4

CVSS v2

リスクファクター: Medium

基本値: 5

現状値: 3.7

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:N/I:P/A:N

脆弱性情報

CPE: p-cpe:/a:oracle:linux:gnutls, p-cpe:/a:oracle:linux:gnutls-devel, cpe:/o:oracle:linux:4

必要な KB アイテム: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/OracleLinux

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2006/11/30

脆弱性公開日: 2006/9/14

参照情報

CVE: CVE-2006-4790

BID: 20027

RHSA: 2006:0680