Fedora 20:libuv-0.10.29-1.fc20 / nodejs-0.10.33-1.fc20(2014-15379)(POODLE)

medium Nessus プラグイン ID 79896
New! プラグインの深刻度には CVSS v3 が適用されるようになりました。

プラグインの深刻度は、デフォルトで CVSS v3 を使って計算されるように更新されました。プラグインに CVSS v3 スコアがない場合には、CVSS v2 を使って深刻度が計算されます。深刻度の表示設定は、[設定]のドロップダウンで切り替えができます。

概要

リモートの Fedora ホストに 1 つ以上のセキュリティ更新がありません。

説明

このリリースでは、Node.js の TLS の最も優勢な使用に対して、デフォルトで SSLv2/SSLv3 を無効にすることで、最新の POODLE の脆弱性を処理します。

このリリースでは、デフォルトで適切なセキュリティ設定を提供し、一方で弊社が導入している動作の変更に対する外部からの攻撃を最小化することを目指した結果、完成までに予想以上に時間がかかりました。また、弊社の変更が、私たちの API でサポートしているさまざまな構成で適用されていることを検証することも重要でした。

このリリースの唯一の動作の変更は、デフォルトで許可されるプロトコルに SSLv2 または SSLv3 が含まれない点だと確信しています。
ただし、必要に応じてこのプロトコルをプログラム的に消費することは今でも可能です。

今後、これがクライアントとサーバーの実装に対してどのように機能するかについては、https://nodejs.org/api/tls.html#tls_protocol_support を参照してください。

注意:Tenable Network Security は、前述の記述ブロックを Fedora セキュリティアドバイザリから直接抽出しています。Tenable では、できる限り新たな問題を持ち込まないように、自動的に整理して書式設定するようにしています。

ソリューション

影響を受ける libuv および/または nodejs のパッケージを更新してください。

関連情報

https://bugzilla.redhat.com/show_bug.cgi?id=1152789

http://www.nessus.org/u?8d7ced4d

http://www.nessus.org/u?c76efe42

https://nodejs.org/api/tls.html#tls_protocol_support

プラグインの詳細

深刻度: Medium

ID: 79896

ファイル名: fedora_2014-15379.nasl

バージョン: 1.11

タイプ: local

エージェント: unix

公開日: 2014/12/15

更新日: 2021/1/11

依存関係: ssh_get_info.nasl

リスク情報

VPR

リスクファクター: Medium

スコア: 5.7

CVSS v2

リスクファクター: Medium

Base Score: 4.3

ベクトル: AV:N/AC:M/Au:N/C:P/I:N/A:N

CVSS v3

リスクファクター: Medium

Base Score: 6.8

ベクトル: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:N/A:N

脆弱性情報

CPE: p-cpe:/a:fedoraproject:fedora:libuv, p-cpe:/a:fedoraproject:fedora:nodejs, cpe:/o:fedoraproject:fedora:20

必要な KB アイテム: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list

パッチ公開日: 2014/11/19

参照情報

CVE: CVE-2014-3566

FEDORA: 2014-15379