CVE-2014-3566 の問題を緩和し、多数のバグを修正し、様々な強化を追加するパッチを含む更新済みの nss、 nss-util、および nss-softokn パッケージが、Red Hat Enterprise Linux 5、6、および 7 で現在利用可能です。

Red Hat 製品セキュリティは、この更新がセキュリティに及ぼす影響を重要度高として評価しています。

Network Security Services（NSS）は、セキュリティが有効なクライアントおよびサーバーのアプリケーションのクロスプラットフォーム開発をサポートするライブラリセットです。Netscape Portable Runtime（NSPR）により、非 GUI オペレーティングシステム機能がプラットフォームに依存しなくなります。

この更新は TLS Fallback Signaling Cipher Suite Value （TLS_FALLBACK_SCSV）へのサポートを追加しています。サポートされている最も高いプロトコルバージョンを指定する最初の接続が失敗した際に、SSL/TLS プロトコルのバージョンを下げて再接続を行うアプリケーションに対するプロトコルのダウングレード攻撃を防ぐために使用することができます。

これは、SSL 3.0 への通信の強制的なダウングレードを防ぐことができます。
暗号ブロックチェーン（CBC）モードでブロック暗号化パッケージを使用した場合、 SSL 3.0 プロトコルにパディングオラクル攻撃への脆弱性があることがわかりました。この問題は CVE-2014-3566 として認識され、別名 POODLE としても知られています。この SSL 3.0 プロトコルの欠陥は、今後の更新では対処されません。安全な通信のために、ユーザーは TLS プロトコルバージョン 1.0 以上を必要とするようにアプリケーションを構成することが推奨されます。

この欠陥の詳細については、Knowledge Base の記事（https://access.redhat.com/articles/1232123）を参照してください

nss、nss-util、および nss-softokn のパッケージは、Upstream バージョン 3.16.2.3 にアップグレードされました。ここでは、以前のバージョンからの多数のバグ修正と拡張機能を提供し、Mozilla Firefox 31.3 のサポートを追加しています。（BZ#1158159、BZ#1165003、BZ#1165525）

nss、nss-util、および nss-softokn のユーザーは、これらの更新済みパッケージにアップグレードすることが推奨されます。これらには、CVE-2014-3566 の問題を緩和し、上記のバグを修正し、上記の拡張機能を追加するための、バックポートされたパッチが含まれています。
更新のインストール後、NSS および NSPR を使用するアプリケーションを再起動し、更新を有効にする必要があります。

検出

CentOS 5 / 6 / 7：nss（CESA-2014:1948）（POODLE）

low Nessus プラグイン ID 79695

バージョン 1.20