Debian DLA-176-1：mono セキュリティ更新

critical Nessus プラグイン ID 82161

Language:

概要

リモートの Debian ホストにセキュリティ更新がありません。

説明

Mono の TLS スタックに関する 3 つの問題に対処します。

CVE-2015-2318

Mono の SSL/TLS スタックの実装は、ハンドシェイクメッセージの順番をチェックできていませんでした。これにより、プロトコルへの様々な攻撃が成功する可能性があります。（「SKIP-TLS」）

CVE-2015-2319

Mono の SSL/TLS スタックの実装には、脆弱な EXPORT 暗号に対するサポートも含まれていたため、FREAK 攻撃の影響を受けやすくなっていました。

CVE-2015-2320

Mono には、もはや不要であり安全ではないと見なされる可能性がある SSLv2 フォールバックコードが含まれていました。

注：Tenable Network Security は、前述の記述ブロックを DLA セキュリティアドバイザリから直接抽出しています。Tenable では、できる限り新たな問題を持ち込まないように、自動的に整理して書式設定するようにしています。

ソリューション

影響を受けるパッケージをアップグレードしてください。

参考資料

https://lists.debian.org/debian-lts-announce/2015/03/msg00013.html

https://packages.debian.org/source/squeeze-lts/mono

プラグインの詳細

深刻度: Critical

ID: 82161

ファイル名: debian_DLA-176.nasl

バージョン: 1.11

タイプ: local

エージェント: unix

ファミリー: Debian Local Security Checks

公開日: 2015/3/26

更新日: 2021/1/11

サポートされているセンサー: Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 5.9

CVSS v2

リスクファクター: High

基本値: 7.5

現状値: 5.5

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P

CVSS v3

リスクファクター: Critical

基本値: 9.8

現状値: 8.5

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C

脆弱性情報

CPE: p-cpe:/a:debian:debian_linux:libmono-system-ldap2.0-cil, p-cpe:/a:debian:debian_linux:libmono-system-messaging1.0-cil, p-cpe:/a:debian:debian_linux:libmono-system-messaging2.0-cil, p-cpe:/a:debian:debian_linux:libmono-system-runtime1.0-cil, p-cpe:/a:debian:debian_linux:libmono-system-runtime2.0-cil, p-cpe:/a:debian:debian_linux:libmono-system-web-mvc1.0-cil, p-cpe:/a:debian:debian_linux:libmono-system-web-mvc2.0-cil, p-cpe:/a:debian:debian_linux:libmono-system-web1.0-cil, p-cpe:/a:debian:debian_linux:libmono-system-web2.0-cil, p-cpe:/a:debian:debian_linux:libmono-system1.0-cil, p-cpe:/a:debian:debian_linux:libmono-system2.0-cil, p-cpe:/a:debian:debian_linux:libmono-tasklets2.0-cil, p-cpe:/a:debian:debian_linux:libmono-wcf3.0-cil, p-cpe:/a:debian:debian_linux:libmono-webbrowser0.5-cil, p-cpe:/a:debian:debian_linux:libmono-windowsbase3.0-cil, p-cpe:/a:debian:debian_linux:libmono-winforms1.0-cil, p-cpe:/a:debian:debian_linux:libmono-winforms2.0-cil, p-cpe:/a:debian:debian_linux:libmono0, p-cpe:/a:debian:debian_linux:libmono0-dbg, p-cpe:/a:debian:debian_linux:libmono1.0-cil, p-cpe:/a:debian:debian_linux:libmono2.0-cil, p-cpe:/a:debian:debian_linux:mono-1.0-devel, p-cpe:/a:debian:debian_linux:mono-1.0-gac, p-cpe:/a:debian:debian_linux:mono-1.0-service, p-cpe:/a:debian:debian_linux:mono-2.0-devel, p-cpe:/a:debian:debian_linux:mono-2.0-gac, p-cpe:/a:debian:debian_linux:mono-2.0-service, p-cpe:/a:debian:debian_linux:mono-complete, p-cpe:/a:debian:debian_linux:mono-csharp-shell, p-cpe:/a:debian:debian_linux:mono-dbg, p-cpe:/a:debian:debian_linux:mono-devel, p-cpe:/a:debian:debian_linux:mono-gac, p-cpe:/a:debian:debian_linux:mono-gmcs, p-cpe:/a:debian:debian_linux:mono-jay, p-cpe:/a:debian:debian_linux:mono-mcs, p-cpe:/a:debian:debian_linux:mono-mjs, p-cpe:/a:debian:debian_linux:mono-runtime, p-cpe:/a:debian:debian_linux:mono-runtime-dbg, p-cpe:/a:debian:debian_linux:mono-utils, p-cpe:/a:debian:debian_linux:mono-xbuild, p-cpe:/a:debian:debian_linux:monodoc-base, p-cpe:/a:debian:debian_linux:monodoc-manual, p-cpe:/a:debian:debian_linux:prj2make-sharp, cpe:/o:debian:debian_linux:6.0, p-cpe:/a:debian:debian_linux:libmono-accessibility1.0-cil, p-cpe:/a:debian:debian_linux:libmono-accessibility2.0-cil, p-cpe:/a:debian:debian_linux:libmono-bytefx0.7.6.1-cil, p-cpe:/a:debian:debian_linux:libmono-bytefx0.7.6.2-cil, p-cpe:/a:debian:debian_linux:libmono-c5-1.1-cil, p-cpe:/a:debian:debian_linux:libmono-cairo1.0-cil, p-cpe:/a:debian:debian_linux:libmono-cairo2.0-cil, p-cpe:/a:debian:debian_linux:libmono-cecil-private-cil, p-cpe:/a:debian:debian_linux:libmono-cil-dev, p-cpe:/a:debian:debian_linux:libmono-corlib1.0-cil, p-cpe:/a:debian:debian_linux:libmono-corlib2.0-cil, p-cpe:/a:debian:debian_linux:libmono-cscompmgd7.0-cil, p-cpe:/a:debian:debian_linux:libmono-cscompmgd8.0-cil, p-cpe:/a:debian:debian_linux:libmono-data-tds1.0-cil, p-cpe:/a:debian:debian_linux:libmono-data-tds2.0-cil, p-cpe:/a:debian:debian_linux:libmono-data1.0-cil, p-cpe:/a:debian:debian_linux:libmono-data2.0-cil, p-cpe:/a:debian:debian_linux:libmono-db2-1.0-cil, p-cpe:/a:debian:debian_linux:libmono-debugger-soft0.0-cil, p-cpe:/a:debian:debian_linux:libmono-dev, p-cpe:/a:debian:debian_linux:libmono-firebirdsql1.7-cil, p-cpe:/a:debian:debian_linux:libmono-getoptions1.0-cil, p-cpe:/a:debian:debian_linux:libmono-getoptions2.0-cil, p-cpe:/a:debian:debian_linux:libmono-i18n-west1.0-cil, p-cpe:/a:debian:debian_linux:libmono-i18n-west2.0-cil, p-cpe:/a:debian:debian_linux:libmono-i18n1.0-cil, p-cpe:/a:debian:debian_linux:libmono-i18n2.0-cil, p-cpe:/a:debian:debian_linux:libmono-ldap1.0-cil, p-cpe:/a:debian:debian_linux:libmono-ldap2.0-cil, p-cpe:/a:debian:debian_linux:libmono-management2.0-cil, p-cpe:/a:debian:debian_linux:libmono-messaging-rabbitmq2.0-cil, p-cpe:/a:debian:debian_linux:libmono-messaging2.0-cil, p-cpe:/a:debian:debian_linux:libmono-microsoft-build2.0-cil, p-cpe:/a:debian:debian_linux:libmono-microsoft7.0-cil, p-cpe:/a:debian:debian_linux:libmono-microsoft8.0-cil, p-cpe:/a:debian:debian_linux:libmono-npgsql1.0-cil, p-cpe:/a:debian:debian_linux:libmono-npgsql2.0-cil, p-cpe:/a:debian:debian_linux:libmono-oracle1.0-cil, p-cpe:/a:debian:debian_linux:libmono-oracle2.0-cil, p-cpe:/a:debian:debian_linux:libmono-peapi1.0-cil, p-cpe:/a:debian:debian_linux:libmono-peapi2.0-cil, p-cpe:/a:debian:debian_linux:libmono-posix1.0-cil, p-cpe:/a:debian:debian_linux:libmono-posix2.0-cil, p-cpe:/a:debian:debian_linux:libmono-profiler, p-cpe:/a:debian:debian_linux:libmono-rabbitmq2.0-cil, p-cpe:/a:debian:debian_linux:libmono-relaxng1.0-cil, p-cpe:/a:debian:debian_linux:libmono-relaxng2.0-cil, p-cpe:/a:debian:debian_linux:libmono-security1.0-cil, p-cpe:/a:debian:debian_linux:libmono-security2.0-cil, p-cpe:/a:debian:debian_linux:libmono-sharpzip0.6-cil, p-cpe:/a:debian:debian_linux:libmono-sharpzip0.84-cil, p-cpe:/a:debian:debian_linux:libmono-sharpzip2.6-cil, p-cpe:/a:debian:debian_linux:libmono-sharpzip2.84-cil, p-cpe:/a:debian:debian_linux:libmono-simd2.0-cil, p-cpe:/a:debian:debian_linux:libmono-sqlite1.0-cil, p-cpe:/a:debian:debian_linux:libmono-sqlite2.0-cil, p-cpe:/a:debian:debian_linux:libmono-system-data-linq2.0-cil, p-cpe:/a:debian:debian_linux:libmono-system-data1.0-cil, p-cpe:/a:debian:debian_linux:libmono-system-data2.0-cil, p-cpe:/a:debian:debian_linux:libmono-system-ldap1.0-cil

必要な KB アイテム: Host/local_checks_enabled, Host/Debian/release, Host/Debian/dpkg-l

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2015/3/19

参照情報

CVE: CVE-2015-2318, CVE-2015-2319, CVE-2015-2320

BID: 73250, 73253, 73256