Mandriva Linux セキュリティアドバイザリ:nss(MDVSA-2013:301)
high Nessus プラグイン ID 71608
Language:
概要
リモート Mandriva Linux ホストには、1 つ以上のセキュリティ更新がありません。説明
mozilla NSS で、脆弱性が発見され、修正されています:Mozilla のルートストアに含まれる、ルートに連結した中間証明書が、中間者攻撃(MITM)トラフィック管理デバイスにロードされることを、Google が Mozilla に通知しました。この証明書は、フランス政府機関であり、Mozilla のルートプログラムの認証局である、Agence nationale de la scurit des systmes d'information(ANSSI)が発行しました。ANSSI の従属認証局が中間証明書を誤発行し、それがネットワーク監視デバイスにインストールされたことによって、そのデバイスが、証明書保持者が所有または制御しないドメイン名または IP アドレスのトラフィック管理を実行する MITM プロキシとして動作することができました。
この問題は Firefox 特有ではありませんが、証明書の 1 つが、顧客が正当に所有またはコントロールしていないドメイン名の MITM トラフィック管理に使用されていたことを示す証拠がありました。この問題は、サブ CA が使用する中間証明書の信頼を取り消し、MITM デバイスに対して証明書を発行することで解決しました。
NSS パッケージは、このセキュリティ欠陥の影響を受けないバージョン 3.15.3.1 にアップグレードされています。
さらに、rootcerts パッケージが、2013 年 12 月 04 日時点での最新 certdata.txt ファイルで、 mozilla からアップグレードされています。
ソリューション
影響を受けるパッケージを更新してください。参考資料
http://www.mozilla.org/security/announce/2013/mfsa2013-117.html
プラグインの詳細
深刻度: High
ID: 71608
ファイル名: mandriva_MDVSA-2013-301.nasl
バージョン: 1.5
タイプ: local
公開日: 2013/12/23
更新日: 2021/1/6
サポートされているセンサー: Nessus
脆弱性情報
CPE: p-cpe:/a:mandriva:linux:lib64nss-devel, p-cpe:/a:mandriva:linux:lib64nss-static-devel, p-cpe:/a:mandriva:linux:lib64nss3, p-cpe:/a:mandriva:linux:nss, p-cpe:/a:mandriva:linux:nss-doc, p-cpe:/a:mandriva:linux:rootcerts, p-cpe:/a:mandriva:linux:rootcerts-java, cpe:/o:mandriva:business_server:1
必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/Mandrake/release, Host/Mandrake/rpm-list
パッチ公開日: 2013/12/23
参照情報
MDVSA: 2013:301