Oracle Linux 6nss、/ nss-util、/ nss-softokn、/ および / nsprELSA-2013-1144

high Nessus プラグイン ID 69253

概要

リモートの Oracle Linux ホストに、1 つ以上のセキュリティ更新プログラムがありません。

説明

リモートの Oracle Linux 6 ホストに、ELSA-2013-1144 アドバイザリに記載されている複数の脆弱性の影響を受けるパッケージがインストールされています。

nspr [4.9.5-2]
- NSPR_4_9_5_RTM へ更新します
- 解決:rhbz#927186 - nspr-4.9.5 にリベース
- パッケージのガイドラインに従い、既存のパッチに Upstream URL を追加します

[4.9.5-1]
- 解決 nspr-4.9.5 にリベース

[4.9.2-1]
- nspr-4.9.2 に更新
- 関連: rhbz#863286

nss [3.14.3-4.0.1.el6_4]
- ベンダーを変更するために nss-vendor.patch を追加しました

[3.14.3-4]
- デフォルトで、デジタル署名の MD5 を受け入れるように戻します
- 解決 rhbz#957603 - nss 3.14 - MD5 ハッシュアルゴリズムが無効化

[3.14.3-3]
- この更新で freebl が新しい API を導入するため、pem がシステム freebl を使用するようにします
- 解決 rhbz#927157 - [RFE][RHEL6] nss-3.14.3 にリベースして Lucky-13 の問題を修正

[3.14.3-2]
- 現在は nss-devel により提供されている sechash.h および secmodt.h をインストールしてください
- 解決 rhbz#927157 - [RFE][RHEL6] nss-3.14.3 にリベースして Lucky-13 の問題を修正
- nss-util および nss-softoken によってすでに出荷されるヘッダーを削除するコマンドから、安全でない -r オプションを削除します

[3.14.3-1]
- NSS_3.14.3_RTM に更新します
- 解決 rhbz#927157 - [RFE][RHEL6] nss-3.14.3 にリベースして Lucky-13 の問題を修正
- 期限切れのテスト証明書を更新upstream バグ 852781 で修正済み
- nss-3.14.3 に対する softoken の Upstream 変更で pem モジュールの rsawrapr.c を同期させます
- aia テストを再アクティブ化します

nss-softokn [3.14.3-3]
- パッチを追加し、古いまたは新しい sqlite api にしたがって条件付きでコンパイルします
- rhel-5 はold を使用しているのに対して、rhel-6 では new が使用されますが、両方に同じコードが必要です
- 解決 rhbz#927158 - nss-softokn にリベース 3.14.3 Lucky-13 の問題を修正

[3.14.3-2]
- relro サポート用のコードパッチの使用に戻します
- 関連: rhbz#927158

[3.14.3-1]
- NSS_3_14_3_RTM に更新します
- 解決 rhbz#927158 - nss-softokn にリベース 3.14.3 Lucky-13 の問題を修正
- 署名ツールがツリー内 freebl とリンクするように __spec_install_post スクリプレット内の署名コマンドの前にエクスポート LD_LIBRARY_PATH=//usr/lib を追加することで、検証が署名時と同じアルゴリズムを使用するようにします
- パッケージのガイドラインに従い、Upstream の crypto reqression テストパッケージを実行するために %check セクションを追加します
- 3.14 のように nss-devel によって提供される sechash.h または secmodt.h をインストールしないでください
- ライセンスを MPLv2.0 に更新

[3.12.9-12]
- へのリベースの準備における buildroot のブートストラップ 3.14.3
- nss-util との更新競合を防ぐために、%files devel リストから hasht.h を削除します
- 3.14.3 では、hasht.h は nss-util-devel によって提供されます
- 関連 rhbz#927158 - nss-softokn を にリベースします 3.14.3

nss-util [3.14.3-3]
- 解決:rhbz#984967 - nssutil_ReadSecmodDB はメモリを漏洩します

[3.14.3-2]
- デフォルトで、デジタル署名の MD5 を受け入れるように戻します
- 解決 rhbz#957603 - nss 3.14 - MD5 ハッシュアルゴリズムが無効化

[3.14.3-1]
- NSS_3_14_3_RTM に更新します
- 解決 rhbz#927171 - Lucky-13 の問題に対する修正の一部として 3.14.3 にリベース

Tenable は、前述の記述ブロックを Oracle Linux セキュリティアドバイザリから直接抽出しています。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

影響を受けるパッケージを更新してください。

参考資料

https://linux.oracle.com/errata/ELSA-2013-1144.html

プラグインの詳細

深刻度: High

ID: 69253

ファイル名: oraclelinux_ELSA-2013-1144.nasl

バージョン: 1.10

タイプ: local

エージェント: unix

公開日: 2013/8/8

更新日: 2025/4/29

サポートされているセンサー: Frictionless Assessment Agent, Nessus Agent, Continuous Assessment, Nessus

リスク情報

VPR

リスクファクター: Low

スコア: 3.4

CVSS v2

リスクファクター: Medium

基本値: 4.3

現状値: 3.2

ベクトル: CVSS2#AV:N/AC:M/Au:N/C:P/I:N/A:N

CVSS スコアのソース: CVE-2013-1620

CVSS v3

リスクファクター: High

基本値: 7.5

現状値: 6.5

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C

脆弱性情報

CPE: p-cpe:/a:oracle:linux:nss-softokn-freebl-devel, p-cpe:/a:oracle:linux:nss-util, p-cpe:/a:oracle:linux:nss-softokn-freebl, p-cpe:/a:oracle:linux:nss-softokn, p-cpe:/a:oracle:linux:nss-pkcs11-devel, p-cpe:/a:oracle:linux:nspr, cpe:/o:oracle:linux:6, p-cpe:/a:oracle:linux:nspr-devel, p-cpe:/a:oracle:linux:nss-softokn-devel, p-cpe:/a:oracle:linux:nss-sysinit, p-cpe:/a:oracle:linux:nss-devel, p-cpe:/a:oracle:linux:nss-util-devel, p-cpe:/a:oracle:linux:nss-tools, p-cpe:/a:oracle:linux:nss

必要な KB アイテム: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/OracleLinux

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2013/8/7

脆弱性公開日: 2013/2/8

参照情報

CVE: CVE-2013-0791, CVE-2013-1620

BID: 57777, 58826

RHSA: 2013:1144