検出

Mandriva Linux セキュリティアドバイザリ:nss(MDVSA-2013:270)

high Nessus プラグイン ID 70998

Language:

概要

リモート Mandriva Linux ホストには、1 つ以上のセキュリティ更新がありません。

説明

mozilla NSPR および NSS で、複数のセキュリティ問題が特定され、修正されました:

3.15.2 より前の Mozilla Network Security Services(NSS) は、読み取り操作の前にデータ構造が初期化されているかを確認しておらず、このためリモートの攻撃者がサービス拒否を引き起こしたり、復号化失敗の原因となる詳細不明なその他の影響を与える可能性があります(CVE-2013-1739)。

3.15.3 より前の Mozilla Network Security Services(NSS)3.15 の整数オーバーフローにより、リモートの攻撃者がサービス拒否を引き起こしたり、大きなサイズの値を通じて詳細不明なその他の影響を与える可能性があります(CVE-2013-1741)。

TLS プロトコルと SSL プロトコルで使用されている RC4 アルゴリズムには、多数の単一バイトの偏りがあります。これにより、リモートの攻撃者が、同一の平文を使用する多数のセッションの暗号文の統計分析を通じて、平文復元攻撃を仕掛けることがより簡単になります(CVE-2013-2566)。

3.14.5 より前の 3.14 および 3.15.3 より前の 3.15 のMozilla Network Security Services(NSS)によって、リモートの攻撃者がサービス拒否を引き起こしたり、無効なハンドシェイクパケットを通じて詳細不明なその他の影響を与える可能性があります(CVE-2013-5605)。

3.15.3 より前の Mozilla Network Security Services(NSS)3.15 の lib/certhigh/certvfy.c の CERT_VerifyCert 関数は、CERTVerifyLog の引数が有効である場合、互換性がないキー使用の証明書に対して予期せぬ戻り値を提供し、これによってリモートの攻撃者が細工された証明書を使って、意図されるアクセス制限をバイパスする可能性があります(CVE-2013-5606)。

4.10.2 より前の Mozilla Netscape Portable Runtime(NSPR) の PL_ArenaAllocate 関数での整数オーバーフローによって、25.0.1 より前の Firefox、17.0.11 より前の 17.x および 24.1.1 より前の 24.x の Firefox ESR、2.22.1 より前の SeaMonkey で使用されているように、リモートの攻撃者がサービス拒否(アプリケーションのクラッシュ)を引き起こしたり、細工された X.509 証明書を通じて、詳細不明なその他の影響を与える可能性があります。CVE-2013-1741(CVE-2013-5607)に関連する問題です。

NSPR パッケージが 4.10.2 バージョンに、NSS パッケージが 3.15.3 バージョンに更新されます。これらのバージョンは、セキュリティの欠陥の影響を受けません。

さらに、rootcerts パッケージが、2013 年 11 月 11 日時点での最新 certdata.txt ファイルで、 mozilla からアップグレードされています。

ソリューション

影響を受けるパッケージを更新してください。

参考資料

http://www.mozilla.org/security/announce/2013/mfsa2013-103.html

https://bugs.mageia.org/show_bug.cgi?id=11669

https://developer.mozilla.org/en-US/docs/NSS/NSS_3.15.3_release_notes

プラグインの詳細

深刻度: High

ID: 70998

ファイル名: mandriva_MDVSA-2013-270.nasl

バージョン: 1.6

タイプ: local

公開日: 2013/11/21

更新日: 2021/1/6

サポートされているセンサー: Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 5.8

CVSS v2

リスクファクター: High

基本値: 7.5

現状値: 6.5

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P

脆弱性情報

CPE: p-cpe:/a:mandriva:linux:lib64nspr-devel, p-cpe:/a:mandriva:linux:lib64nspr4, p-cpe:/a:mandriva:linux:lib64nss-devel, p-cpe:/a:mandriva:linux:lib64nss-static-devel, p-cpe:/a:mandriva:linux:lib64nss3, p-cpe:/a:mandriva:linux:nss, p-cpe:/a:mandriva:linux:nss-doc, p-cpe:/a:mandriva:linux:rootcerts, p-cpe:/a:mandriva:linux:rootcerts-java, cpe:/o:mandriva:business_server:1

必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/Mandrake/release, Host/Mandrake/rpm-list

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2013/11/20

参照情報

CVE: CVE-2013-1739, CVE-2013-1741, CVE-2013-2566, CVE-2013-5605, CVE-2013-5606, CVE-2013-5607

BID: 62966, 63737

MDVSA: 2013:270