Fedora 19：mod_nss-1.0.8-27.fc19（2013-22787）

medium Nessus プラグイン ID 71384

Language:

概要

リモート Fedora ホストに、セキュリティ更新がありません。

説明

NSSVerifyClient が、ディレクトリコンテキスト（<Directory> または <Location> ディレクティブを介して指定される）に加えて、サーバー/vhost 両方のコンテキストで使用されている場合、NSSVerifyClient が処理される方法に欠陥が見つかりました。サーバー/vhost コンテキストで「NSSVerifyClient none」が設定され（すなわち、サーバーが最初の接続時にクライアント証明書の認証をリクエストしない/義務付けないように構成されている）、また「NSSVerifyClient require」設定により、特定のディレクトリに対するクライアント証明書の認証を義務付けることが想定されていた場合、mod_nss は想定された証明書認証を適切に義務付けることができませんでした。有効なクライアント証明書なしにこのような mod_nss 構成を使用して Web サーバーに接続できるリモートの攻撃者が、この欠陥を利用して、制限されたディレクトリのコンテンツにアクセスする可能性があります。

注意：Tenable Network Security は、前述の記述ブロックを Fedora セキュリティアドバイザリから直接抽出しています。Tenable では、できる限り新たな問題を持ち込まないように、自動的に整理して書式設定するようにしています。