RHEL 5:pki-tps(RHSA-2013:0856)
high Nessus プラグイン ID 78958
Language:
概要
リモート Red Hat ホストにセキュリティ更新がありません。説明
2 つのセキュリティ問題を修正する更新済みの pki-tps パッケージが、Red Hat Certificate System 8.1 で現在利用可能です。Red Hat セキュリティレスポンスチームは、この更新には重大なセキュリティ上の影響があると評価しています。詳細な重要度の評価を提供する Common Vulnerability Scoring System (CVSS)のベーススコアが、「参照」セクションの CVE リンクの各脆弱性に対して利用可能です。
Red Hat Certificate System(RHCS)は、エンタープライズ公開鍵インフラストラクチャ(PKI)のデプロイメントを管理するために設計された、エンタープライズソフトウェアシステムです。Token Processing System(TPS)は、登録局(RA)として機能する PKI サブシステムです。これは、Enterprise Security Client からの参加リクエスト、PIN リセットリクエスト、およびフォーマットリクエストの認証と処理を行います。
TPS サブシステムに書式文字列の欠陥が見つかりました。認証された Certificate System ユーザーが、この欠陥を利用して、Apache HTTP Server の子プロセスをクラッシュさせたり、その他のユーザーのリクエストの処理を中断させたり、pkiuser の権限で任意のコードを実行したりする可能性があります。(CVE-2013-1886)
TPS サブシステムにクロスサイトスクリプティングの欠陥が発見されました。攻撃者がこの欠陥を利用して、Certificate System の Web インターフェイスを使用している被害者に対してクロスサイトスクリプティング攻撃(XSS)を行う可能性があります。
(CVE-2013-1885)
Red Hat Certificate System の全ユーザーは、この更新済みのパッケージへアップグレードし、これらの問題を修正することが推奨されます。この更新をインストールした後に、全ての Red Hat Certificate System およびサブシステムは、更新を有効にするために再起動する必要があります(「/etc/init.d/[instance-name] restart」)。
ソリューション
影響を受ける pki-tps パッケージを更新してください。参考資料
https://access.redhat.com/errata/RHSA-2013:0856
プラグインの詳細
深刻度: High
ID: 78958
ファイル名: redhat-RHSA-2013-0856.nasl
バージョン: 1.9
タイプ: local
エージェント: unix
公開日: 2014/11/8
更新日: 2021/1/14
サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 5.9
CVSS v2
リスクファクター: High
基本値: 7.5
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P
脆弱性情報
CPE: p-cpe:/a:redhat:enterprise_linux:pki-tps, cpe:/o:redhat:enterprise_linux:5
必要な KB アイテム: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu
パッチ公開日: 2013/5/22
脆弱性公開日: 2014/1/24
参照情報
CVE: CVE-2013-1885, CVE-2013-1886
RHSA: 2013:0856