Oracle Linux 5 / 6 / 7:nss / nss-softokn / nss-util(ELSA-2014-1948)(POODLE)

low Nessus プラグイン ID 79681
New! プラグインの深刻度には CVSS v3 が適用されるようになりました。

プラグインの深刻度は、デフォルトで CVSS v3 を使って計算されるように更新されました。プラグインに CVSS v3 スコアがない場合には、CVSS v2 を使って深刻度が計算されます。深刻度の表示設定は、[設定]のドロップダウンで切り替えができます。

概要

リモート Oracle Linux ホストに、1 つ以上のセキュリティ更新がありません。

説明

Red Hat セキュリティアドバイザリ 2014:1948 から:

CVE-2014-3566 の問題を緩和し、多数のバグを修正し、様々な強化を追加するパッチを含む更新済みの nss、 nss-util、および nss-softokn パッケージが、Red Hat Enterprise Linux 5、6、および 7 で現在利用可能です。

Red Hat 製品セキュリティは、この更新がセキュリティに及ぼす影響を重要度高として評価しています。

Network Security Services(NSS)は、セキュリティが有効なクライアントおよびサーバーのアプリケーションのクロスプラットフォーム開発をサポートするライブラリセットです。Netscape Portable Runtime(NSPR)により、非 GUI オペレーティングシステム機能がプラットフォームに依存しなくなります。

この更新は TLS Fallback Signaling Cipher Suite Value (TLS_FALLBACK_SCSV)へのサポートを追加しています。サポートされている最も高いプロトコルバージョンを指定する最初の接続が失敗した際に、SSL/TLS プロトコルのバージョンを下げて再接続を行うアプリケーションに対するプロトコルのダウングレード攻撃を防ぐために使用することができます。

これは、SSL 3.0 への通信の強制的なダウングレードを防ぐことができます。
暗号ブロックチェーン(CBC)モードでブロック暗号化パッケージを使用した場合、 SSL 3.0 プロトコルにパディングオラクル攻撃への脆弱性があることがわかりました。この問題は CVE-2014-3566 として認識され、別名 POODLE としても知られています。この SSL 3.0 プロトコルの欠陥は、今後の更新では対処されません。安全な通信のために、ユーザーは TLS プロトコルバージョン 1.0 以上を必要とするようにアプリケーションを構成することが推奨されます。

この欠陥の詳細については、Knowledge Base の記事(https://access.redhat.com/articles/1232123)を参照してください

nss、nss-util、および nss-softokn のパッケージは、Upstream バージョン 3.16.2.3 にアップグレードされました。ここでは、以前のバージョンからの多数のバグ修正と拡張機能を提供し、Mozilla Firefox 31.3 のサポートを追加しています。(BZ#1158159、BZ#1165003、BZ#1165525)

nss、nss-util、および nss-softokn のユーザーは、これらの更新済みパッケージにアップグレードすることが推奨されます。これらには、CVE-2014-3566 の問題を緩和し、上記のバグを修正し、上記の拡張機能を追加するための、バックポートされたパッチが含まれています。
更新のインストール後、NSS および NSPR を使用するアプリケーションを再起動し、更新を有効にする必要があります。

ソリューション

影響を受ける nss、nss-softokn、および/または nss-util パッケージを更新してください。

関連情報

https://oss.oracle.com/pipermail/el-errata/2014-December/004676.html

https://oss.oracle.com/pipermail/el-errata/2014-December/004677.html

https://oss.oracle.com/pipermail/el-errata/2014-December/004678.html

プラグインの詳細

深刻度: Low

ID: 79681

ファイル名: oraclelinux_ELSA-2014-1948.nasl

バージョン: 1.20

タイプ: local

エージェント: unix

公開日: 2014/12/3

更新日: 2021/1/14

依存関係: ssh_get_info.nasl

リスク情報

VPR

リスクファクター: Medium

スコア: 5.7

CVSS v2

リスクファクター: Medium

Base Score: 4.3

Temporal Score: 3.2

ベクトル: AV:N/AC:M/Au:N/C:P/I:N/A:N

現状ベクトル: E:U/RL:OF/RC:C

CVSS v3

リスクファクター: Low

Base Score: 3.4

Temporal Score: 3

ベクトル: CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:C/C:L/I:N/A:N

現状ベクトル: E:U/RL:O/RC:C

脆弱性情報

CPE: p-cpe:/a:oracle:linux:nss, p-cpe:/a:oracle:linux:nss-devel, p-cpe:/a:oracle:linux:nss-pkcs11-devel, p-cpe:/a:oracle:linux:nss-softokn, p-cpe:/a:oracle:linux:nss-softokn-devel, p-cpe:/a:oracle:linux:nss-softokn-freebl, p-cpe:/a:oracle:linux:nss-softokn-freebl-devel, p-cpe:/a:oracle:linux:nss-sysinit, p-cpe:/a:oracle:linux:nss-tools, p-cpe:/a:oracle:linux:nss-util, p-cpe:/a:oracle:linux:nss-util-devel, cpe:/o:oracle:linux:5, cpe:/o:oracle:linux:6, cpe:/o:oracle:linux:7

必要な KB アイテム: Host/local_checks_enabled, Host/OracleLinux, Host/RedHat/release, Host/RedHat/rpm-list

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2014/12/3

脆弱性公開日: 2014/10/15

参照情報

CVE: CVE-2014-3566

BID: 70574

RHSA: 2014:1948