検出

Fedora 18:perl-Crypt-DSA-1.17-10.fc18(2013-15755)

medium Nessus プラグイン ID 69857

Language:

概要

リモート Fedora ホストに、セキュリティ更新がありません。

説明

DSA に関連する '09 Debian PGP 災害でわかるように、乱数ソースは非常に重要です。/dev/random がないシステムでは、 Crypt::DSA は再び Data::Random を使用します。Data::Random は、rand() を使用しますが、これについて perldoc では、「rand() は暗号的にセキュアでないため、セキュリティ上重要な状況ではこれに依存すべきでない」と説明されています。DSA の場合は、これはさらに悪くなります。不適切にセキュアな乱数ソースを使用すると、メッセージの署名で署名キーが破られる可能性があるのです。http://rdist.root.org/2010/11/19/dsa-requirements-for-random-k-value/ を参照してください /dev/random が常に使用可能であり、Data::Random に戻ることは決して起こらないため、これは Linux には影響を与えそうもありません。しかし、SELinux のようにアプリケーションが MAC システムの使用に限定されている場合は、/dev/random へのアクセスはポリシーにより拒否され、後戻りがトリガーされます。

注意:Tenable Network Security は、前述の記述ブロックを Fedora セキュリティアドバイザリから直接抽出しています。Tenable では、できる限り新たな問題を持ち込まないように、自動的に整理して書式設定するようにしています。

ソリューション

影響を受ける perl-Crypt-DSA パッケージを更新してください。

参考資料

https://rdist.root.org/2010/11/19/dsa-requirements-for-random-k-value/

https://bugzilla.redhat.com/show_bug.cgi?id=743567

http://www.nessus.org/u?bf712e28

プラグインの詳細

深刻度: Medium

ID: 69857

ファイル名: fedora_2013-15755.nasl

バージョン: 1.5

タイプ: local

エージェント: unix

公開日: 2013/9/13

更新日: 2021/1/11

サポートされているセンサー: Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus

リスク情報

VPR

リスクファクター: Low

スコア: 2.7

CVSS v2

リスクファクター: Medium

基本値: 5.8

ベクトル: CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:N

脆弱性情報

CPE: p-cpe:/a:fedoraproject:fedora:perl-crypt-dsa, cpe:/o:fedoraproject:fedora:18

必要な KB アイテム: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list

パッチ公開日: 2013/9/4

参照情報

CVE: CVE-2011-3599

FEDORA: 2013-15755