Fedora 19:libuv-0.10.29-1.fc19 / nodejs-0.10.33-1.fc19(2014-15390)(POODLE)

medium Nessus プラグイン ID 79897

概要

リモートの Fedora ホストに 1 つ以上のセキュリティ更新がありません。

説明

このリリースでは、Node.js の TLS の最も優勢な使用に対して、デフォルトで SSLv2/SSLv3 を無効にすることで、最新の POODLE の脆弱性を処理します。

このリリースでは、デフォルトで適切なセキュリティ設定を提供し、一方で弊社が導入している動作の変更に対する外部からの攻撃を最小化することを目指した結果、完成までに予想以上に時間がかかりました。また、弊社の変更が、私たちの API でサポートしているさまざまな構成で適用されていることを検証することも重要でした。

このリリースの唯一の動作の変更は、デフォルトで許可されるプロトコルに SSLv2 または SSLv3 が含まれない点だと確信しています。
ただし、必要に応じてこのプロトコルをプログラム的に消費することは今でも可能です。

今後、これがクライアントとサーバーの実装に対してどのように機能するかについては、https://nodejs.org/api/tls.html#tls_protocol_support を参照してください。

注意:Tenable Network Security は、前述の記述ブロックを Fedora セキュリティアドバイザリから直接抽出しています。Tenable では、できる限り新たな問題を持ち込まないように、自動的に整理して書式設定するようにしています。

ソリューション

影響を受ける libuv および/または nodejs のパッケージを更新してください。

参考資料

https://bugzilla.redhat.com/show_bug.cgi?id=1152789

http://www.nessus.org/u?9e5420da

http://www.nessus.org/u?278489e8

https://nodejs.org/api/tls.html#tls_protocol_support

プラグインの詳細

深刻度: Medium

ID: 79897

ファイル名: fedora_2014-15390.nasl

バージョン: 1.12

タイプ: local

エージェント: unix

公開日: 2014/12/15

更新日: 2023/6/28

サポートされているセンサー: Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 5.1

CVSS v2

リスクファクター: Medium

Base Score: 4.3

ベクトル: CVSS2#AV:N/AC:M/Au:N/C:P/I:N/A:N

CVSS v3

リスクファクター: Medium

Base Score: 6.8

ベクトル: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:N/A:N

脆弱性情報

CPE: p-cpe:/a:fedoraproject:fedora:libuv, p-cpe:/a:fedoraproject:fedora:nodejs, cpe:/o:fedoraproject:fedora:19

必要な KB アイテム: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2014/11/19

参照情報

CVE: CVE-2014-3566

FEDORA: 2014-15390