Amazon Linux AMI:nspr (ALAS-2013-266)
high Nessus プラグイン ID 71578
Language:
概要
リモートのAmazon Linux AMIホストに、セキュリティ更新プログラムがありません。説明
NSS が無効なハンドシェイクパケットを処理する方法で欠陥が見つかりました。リモートの攻撃者がこの欠陥を利用することで、NSS を使用する TLS/SSL クライアントをクラッシュさせたり、アプリケーションを実行しているユーザーの権限で任意のコードを実行できる恐れがあります。(CVE-2013-5605)CVE-2013-1620 に対する修正に、回帰が取り込まれたことがわかりました。これにより、復号化に失敗したときに、NSS は初期化されていないデータを読み込みます。リモート攻撃者がこの欠陥を利用して、 NSS を使用している TLS/SSL サーバーをクラッシュさせる恐れがあります。(CVE-2013-1739)
64 ビットシステムの証明書解析の NSS および NSPR 実装の両方で、整数オーバーフローの欠陥が見つかりました。リモート攻撃者がこれらの欠陥を利用して、NSS または NSPR を使用するアプリケーションをクラッシュさせる恐れがあります。(CVE-2013-1741、CVE-2013-5607)
NSS が、verifyLog 機能が有効な場合でも、不適合なキーの使用制約がある証明書を検証時に拒否しないことが判明しました。NSS 証明書検証 API を使用するアプリケーションが、無効な証明書を受け付ける恐れがあります。
(CVE-2013-5606)
ソリューション
「yum update nspr」を実行して、お使いのシステムを更新してください。参考資料
プラグインの詳細
深刻度: High
ID: 71578
ファイル名: ala_ALAS-2013-266.nasl
バージョン: 1.4
タイプ: local
エージェント: unix
公開日: 2013/12/23
更新日: 2018/4/18
サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 5.8
CVSS v2
リスクファクター: High
基本値: 7.5
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P
脆弱性情報
CPE: p-cpe:/a:amazon:linux:nspr, p-cpe:/a:amazon:linux:nspr-debuginfo, p-cpe:/a:amazon:linux:nspr-devel, cpe:/o:amazon:linux
必要な KB アイテム: Host/local_checks_enabled, Host/AmazonLinux/release, Host/AmazonLinux/rpm-list
パッチ公開日: 2013/12/17
参照情報
CVE: CVE-2013-1620, CVE-2013-1739, CVE-2013-1741, CVE-2013-5605, CVE-2013-5606, CVE-2013-5607