Oracle Linux 6:nspr/nss/nss-util(ELSA-2012-0973)
high Nessus プラグイン ID 68563
Language:
概要
リモート Oracle Linux ホストに、1 つ以上のセキュリティ更新がありません。説明
Red Hat セキュリティアドバイザリ 2012:0973 から:1 つのセキュリティの問題やいくつかのバグを修正し、さまざまな拡張機能を追加する更新済みの nss、nss-util、および nspr のパッケージが、 Red Hat Enterprise Linux 6 で現在利用可能です。
Red Hat セキュリティレスポンスチームは、この更新のセキュリティ上の影響は中程度であると評価しています。
Network Security Services(NSS)は、セキュリティが有効なクライアントおよびサーバーのアプリケーションのクロスプラットフォーム開発をサポートするように設計されたライブラリセットです。Netscape Portable Runtime(NSPR)により、非 GUI オペレーティングシステム機能がプラットフォームに依存しなくなります。
認証局(CA)が従属 CA 証明書を顧客に発行し、それが任意の名前に対して証明書を発行するために使用される可能性があることが判明しました。この更新で、従属 CA 証明書が信頼できないものにされます。(BZ#798533)
注:この修正は、NSS Builtin Object Token を使用するアプリケーションにのみ適用されます。NSS ライブラリを使用するが、NSS Builtin Object Token を使用しないアプリケーションでは、証明書は信頼できないものになりません。
nspr パッケージは、Upstream バージョン 4.9 にアップグレードされています。このバージョンは、前のバージョンにあった多数のバグを修正し、拡張機能を追加します。(BZ#799193)
nss-util パッケージは、Upstream バージョン 3.13.3 にアップグレードされています。これにより、前のバージョンに対する多数のバグ修正と拡張機能が提供されます。(BZ#799192)
nss パッケージは、以前のバージョンの多数のバグを修正し、拡張機能を提供する Upstream バージョン 3.13.3 にアップグレードしました。特記に値するのは、SSL 2.0 がデフォルトで無効にされるようになり、SHA-224 のサポートが追加されていることです。PORT_ErrorToString および PORT_ErrorToName が NSS エラーコードのエラーメッセージおよびシンボリック名を返すようになり、 NSS_GetVersion が NSS バージョン文字列を返すようになっています。(BZ#744070)
これらの更新済みの nss、nss-util、および nspr のパッケージは、次のバグも修正します:
* PEM モジュールの内部関数が、存在しないファイル名を検出したときに、メモリをクリーンアップしませんでした。結果として、クライアントコードのメモリ漏洩が発生していました。コードが改良されて、このような時オブジェクトの割り当てが解除されるようになり、結果として報告されていたメモリリークはなくなりました。
(BZ#746632)
* NSS の最近の変更により、アプリケーションが同じプロセスで複数の SSL クライアント証明書を使用できない問題が再び導入されています。
このため、「yum repolist」コマンドなど、複数の SSL クライアント証明書で動作するコマンドを実行しようと試みても、再ネゴシエーションハンドシェイクのエラーが起こっていました。この更新により、この問題を修正する改定パッチが NSS に適用され、同じプロセスで複数の SSL クライアント証明書を使用することが再びできるようになっています。
(BZ#761086)
* PEM モジュールが新しく構築されたオブジェクトを完全に初期化せず、関数ポインターが NULL に設定されていました。結果として、パッケージリポジトリにアクセスする際に、libcurl でセグメンテーション違反が発生することがありました。この更新により、コードが変更されて、新しく割り当てられたオブジェクトが完全に初期化されるようになっています。結果として、更新が問題なくインストールされるようになっています。(BZ#768669)
* 堅牢性の欠如の欠陥により、文書化された API にしたがって nss を初期化する前に mod_nss モジュールが nss 呼び出しを行うため、Red Hat Directory Server の管理サーバーが予期せず終了していました。この更新により、呼び出し側から適切に初期化される前に、nss はそれ自体を呼び出しから保護します。(BZ#784674)
* NSS 3.13.1 に対してコードをコンパイルするときに、一部のコンパイラでコンパイルエラーが発生していました。次のエラーメッセージが表示されていました:
pkcs11n.h:365:26:警告:「__GNUC_MINOR」が定義されない
Upstream パッチが適用されてコードが強化され、この問題は発生しなくなりました。(BZ#795693)
* nss へ最近更新した後、Red Hat Enterprise MRG に含まれているメッセージングデーモン(qpidd)で、予期せぬ終了が発生することが報告されました。これは、nss を初期化する前に qpidd が nss を呼び出すために発生しています。これらの更新済みパッケージにより、qpidd およびその他の影響を受けるプロセスが、 API により規定されている通り初期化なしに nss を呼び出さなくなり、クラッシュが防止されます。(BZ#797426)
NSS、NSPR、および nss-util のユーザーは、これらの更新済みパッケージへアップグレードし、これらの問題を修正し、これらの拡張機能を追加することが推奨されます。
この更新のインストール後、NSS、NSPR、または nss-uti を使用しているアプリケーションを再起動し、更新を有効にする必要があります。
ソリューション
影響を受ける nspr、nss および/または nss-util パッケージを更新してください。参考資料
https://oss.oracle.com/pipermail/el-errata/2012-July/002914.html
プラグインの詳細
深刻度: High
ID: 68563
ファイル名: oraclelinux_ELSA-2012-0973.nasl
バージョン: 1.7
タイプ: local
エージェント: unix
公開日: 2013/7/12
更新日: 2021/1/14
サポートされているセンサー: Frictionless Assessment Agent, Nessus Agent, Nessus
脆弱性情報
CPE: p-cpe:/a:oracle:linux:nspr, p-cpe:/a:oracle:linux:nspr-devel, p-cpe:/a:oracle:linux:nss, p-cpe:/a:oracle:linux:nss-devel, p-cpe:/a:oracle:linux:nss-pkcs11-devel, p-cpe:/a:oracle:linux:nss-sysinit, p-cpe:/a:oracle:linux:nss-tools, p-cpe:/a:oracle:linux:nss-util, p-cpe:/a:oracle:linux:nss-util-devel, cpe:/o:oracle:linux:6
必要な KB アイテム: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/OracleLinux
パッチ公開日: 2012/7/2
脆弱性公開日: 2012/7/2
参照情報
RHSA: 2012:0973