RHEL 5 / 6:nss(RHSA-2014:1371)

high Nessus プラグイン ID 79055
New! プラグインの深刻度には CVSS v3 が適用されるようになりました。

プラグインの深刻度は、デフォルトで CVSS v3 を使って計算されるように更新されました。プラグインに CVSS v3 スコアがない場合には、CVSS v2 を使って深刻度が計算されます。深刻度の表示設定は、[設定]のドロップダウンで切り替えができます。

概要

リモート Red Hat ホストに 1 つ以上のセキュリティ更新がありません。

説明

1 つのセキュリティ問題を修正する更新済みの nss パッケージが、Red Hat Enterprise Linux 4 Extended Life Cycle Support、Red Hat Enterprise Linux 5.6 Long Life、Red Hat Enterprise Linux 5.9 Extended Update Support、Red Hat Enterprise Linux 6.2 Advanced Update Support、および Red Hat Enterprise Linux 6.4 Extended Update Support で現在利用可能です。

Red Hat 製品セキュリティは、この更新がセキュリティに及ぼす影響を重要度高として評価しています。詳細な重要度評価を示す Common Vulnerability Scoring System(CVSS)ベーススコアは「参照」セクションの CVE リンクで入手できます。

Network Security Services(NSS)は、セキュリティが有効なクライアントおよびサーバーのアプリケーションのクロスプラットフォーム開発をサポートするライブラリセットです。Netscape Portable Runtime(NSPR)により、非 GUI オペレーティングシステム機能がプラットフォームに依存しなくなります。

NSS が特定の RSA 署名からの ASN.1(抽象構文記法 1)の入力を解析する場合の方法に欠陥が見つかりました。リモートの攻撃者が、この欠陥を利用し、特別に細工された署名を、NSS を使用するアプリケーションに提供することによって、RSA 証明書を偽造する可能性があります。(CVE-2014-1568)

Red Hat は、この問題を報告してくれた Mozilla プロジェクトに感謝の意を表します。Upstream は、Antoine Delignat-Lavaud 氏と Intel Product Security Incident Response Team を最初の報告者として認めます。

NSS の全ユーザーは、バックポートされたパッチが含まれるこれらの更新済みパッケージへアップグレードし、この問題を修正することが推奨されます。この更新をインストールした後に、この更新を有効にするため、NSS を使用するアプリケーションを再起動する必要があります。

ソリューション

影響を受けるパッケージを更新してください。

関連情報

https://access.redhat.com/errata/RHSA-2014:1371

https://access.redhat.com/security/cve/cve-2014-1568

プラグインの詳細

深刻度: High

ID: 79055

ファイル名: redhat-RHSA-2014-1371.nasl

バージョン: 1.17

タイプ: local

エージェント: unix

公開日: 2014/11/8

更新日: 2021/1/14

依存関係: ssh_get_info.nasl

リスク情報

VPR

リスクファクター: Medium

スコア: 5.8

CVSS v2

リスクファクター: High

Base Score: 7.5

Temporal Score: 5.5

ベクトル: AV:N/AC:L/Au:N/C:P/I:P/A:P

現状ベクトル: E:U/RL:OF/RC:C

脆弱性情報

CPE: p-cpe:/a:redhat:enterprise_linux:nss, p-cpe:/a:redhat:enterprise_linux:nss-debuginfo, p-cpe:/a:redhat:enterprise_linux:nss-devel, p-cpe:/a:redhat:enterprise_linux:nss-pkcs11-devel, p-cpe:/a:redhat:enterprise_linux:nss-softokn, p-cpe:/a:redhat:enterprise_linux:nss-softokn-debuginfo, p-cpe:/a:redhat:enterprise_linux:nss-softokn-devel, p-cpe:/a:redhat:enterprise_linux:nss-softokn-freebl, p-cpe:/a:redhat:enterprise_linux:nss-softokn-freebl-devel, p-cpe:/a:redhat:enterprise_linux:nss-sysinit, p-cpe:/a:redhat:enterprise_linux:nss-tools, p-cpe:/a:redhat:enterprise_linux:nss-util, p-cpe:/a:redhat:enterprise_linux:nss-util-debuginfo, p-cpe:/a:redhat:enterprise_linux:nss-util-devel, cpe:/o:redhat:enterprise_linux:4, cpe:/o:redhat:enterprise_linux:5.6, cpe:/o:redhat:enterprise_linux:5.9, cpe:/o:redhat:enterprise_linux:6, cpe:/o:redhat:enterprise_linux:6.2, cpe:/o:redhat:enterprise_linux:6.4

必要な KB アイテム: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2014/10/10

脆弱性公開日: 2014/9/25

参照情報

CVE: CVE-2014-1568

RHSA: 2014:1371