RHEL 6:pki-core(RHSA-2015:1347)
medium Nessus プラグイン ID 84940
Language:
概要
リモートの Red Hat ホストに pki-core のセキュリティ更新プログラムがありません。説明
リモート Redhat Enterprise Linux 6 ホストに、RHSA-2015:1347 アドバイザリに記載されている脆弱性の影響を受けるパッケージがインストールされています。Red Hat Certificate Systemは、エンタープライズ公開鍵基盤(PKI)の導入を管理するために設計されたエンタープライズソフトウェアシステムです。PKI Coreには、認証局(CA)サブシステムから成る、Red Hat Certificate Systemが必要とする基本パッケージが含まれています。
Red Hat Certificate System Agent および End Entity ページにおいて、多数のクロスサイトスクリプティングの欠陥が検出されました。攻撃者がこれらの欠陥を利用して、証明書システムの Web インターフェイスを使用して被害者に対してクロスサイトスクリプティング(XSS)攻撃を実行する可能性があります。 (CVE-2012-2662)
この更新では、次のバグも修正しています。
* 以前は、389-ds-base パッケージと通信するために、pki-core は SSL バージョン 3 (SSLv3)のプロトコルレンジを必要としていました。ただし、 389-ds-base に対する最近の変更で、デフォルトでの SSLv3 の使用が無効となり、 TLS プロトコルなどのセキュアなプロトコルによってサポートされるプロトコルレンジの使用が強制されるようになっています。その結果、Identity Management(IdM)サーバーのインストール中に、 CA のインストールが失敗します。この更新では、TLS 関連のパラメーターを CA の server.xml ファイルに追加してこの問題を修正し、ipa-server-install コマンドを実行すると、CA が正しくインストールされるようになりました。 (BZ#1171848)
* 以前は、OpenJDK バージョン 1.8.0 をインストールしたシステムで、スタンドアロンの CA を設定しようとすると、ipa-server-install スクリプトが失敗していました。
pki-core のビルドやランタイムの依存関係が、スタンドアロンの CA の構成で OpenJDK バージョン 1.7.0 を使用するように変更されました。その結果、ipa-server-install はこの状況で失敗しなくなりました。 (BZ#1212557)
* CA サービスを実行している Red Hat Enterprise Linux 6 のレプリカから、Red Hat Enterprise Linux 7 のレプリカを作成すると、初期の Red Hat Enterprise Linux 6 CA マスターが削除された IdM 展開で失敗することがあります。
これにより、Red Hat Enterprise Linux 6からRed Hat Enterprise Linux 7に移行するときなど、状況によっては問題が発生する可能性があります。このバグは、以前のバージョンのIdMの問題が原因で発生し、CAサーバーの初期インストール中にサブシステムユーザー、は、初期マスターとともに削除されました。この更新により、上記の状況でサブシステムユーザーを復元する restore-subsystem-user.py スクリプトが追加され、管理者はこのシナリオで Red Hat Enterprise Linux 7 のレプリカを作成することができます。 (BZ#1225589)
* いくつかの Java インポートステートメントが、ワイルドカード引数を指定します。ただし、 Red Hat Enterprise Linux 6 のメンテナンスブランチに含まれているソースコードのインポートステートメントでのワイルドカード引数の使用のため、名前空間の衝突から正しくないクラスが使用される可能性があります。その結果、Token Processing System(TPS)の再構築テストが、エラーメッセージで失敗していました。この更新では、影響を受けるすべての領域で完全に名前が付けられたクラスを提供することで、バグに対処しています。TPS の再構築テストは失敗しなくなりました。 (BZ#1144188)
* 以前は、pki-core が、TPS のリビルドテスト中の CMake ビルドシステムのリベースバージョンのビルドで失敗していました。pki-core ビルドファイルが更新されて、 CMake のリベースバージョンに適合するようになりました。その結果、pki-coreは上記のシナリオで正常に構築されます。 (BZ#1144608)
pki-core のユーザーは、バックポートされたパッチが含まれるこれらの更新済みパッケージへアップグレードし、これらの問題を修正することが推奨されます。
Tenable は、前述の記述ブロックを Red Hat Enterprise Linux セキュリティアドバイザリから直接抽出しています。
Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。
ソリューション
RHEL pki-core パッケージを RHSA-2015:1347 のガイダンスに基づいて更新してください。参考資料
http://www.nessus.org/u?d4386be9
https://access.redhat.com/errata/RHSA-2015:1347
https://access.redhat.com/security/updates/classification/#moderate
https://bugzilla.redhat.com/show_bug.cgi?id=1144188
https://bugzilla.redhat.com/show_bug.cgi?id=1144608
プラグインの詳細
深刻度: Medium
ID: 84940
ファイル名: redhat-RHSA-2015-1347.nasl
バージョン: 2.10
タイプ: local
エージェント: unix
公開日: 2015/7/23
更新日: 2025/4/15
サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus
リスク情報
VPR
リスクファクター: Low
スコア: 3.0
Vendor
Vendor Severity: Moderate
CVSS v2
リスクファクター: Medium
基本値: 4.3
現状値: 3.2
ベクトル: CVSS2#AV:N/AC:M/Au:N/C:N/I:P/A:N
CVSS スコアのソース: CVE-2012-2662
CVSS v3
リスクファクター: Medium
基本値: 6.1
現状値: 5.3
ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C
脆弱性情報
CPE: p-cpe:/a:redhat:enterprise_linux:pki-ca, p-cpe:/a:redhat:enterprise_linux:pki-common-javadoc, p-cpe:/a:redhat:enterprise_linux:pki-common, p-cpe:/a:redhat:enterprise_linux:pki-setup, p-cpe:/a:redhat:enterprise_linux:pki-selinux, p-cpe:/a:redhat:enterprise_linux:pki-util, cpe:/o:redhat:enterprise_linux:6, p-cpe:/a:redhat:enterprise_linux:pki-java-tools, p-cpe:/a:redhat:enterprise_linux:pki-native-tools, p-cpe:/a:redhat:enterprise_linux:pki-java-tools-javadoc, p-cpe:/a:redhat:enterprise_linux:pki-symkey, p-cpe:/a:redhat:enterprise_linux:pki-util-javadoc, p-cpe:/a:redhat:enterprise_linux:pki-silent, p-cpe:/a:redhat:enterprise_linux:pki-core
必要な KB アイテム: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu
エクスプロイトの容易さ: No known exploits are available
パッチ公開日: 2015/7/22
脆弱性公開日: 2012/8/13
参照情報
CVE: CVE-2012-2662
BID: 54608