検出

Oracle Linux 6:pki-core(ELSA-2015-1347)

medium Nessus プラグイン ID 85101

Language:

概要

リモート Oracle Linux ホストに、1 つ以上のセキュリティ更新がありません。

説明

Red Hat セキュリティアドバイザリ 2015:1347 から:

1 つのセキュリティ問題およびいくつかのバグを修正する、更新済み pki-core パッケージが、 Red Hat Enterprise Linux 6 で現在利用可能です。

Red Hat 製品セキュリティは、この更新がセキュリティに及ぼす影響を重要度中として評価しています。詳細な重要度評価を示す Common Vulnerability Scoring System(CVSS)ベーススコアは「参照」セクションの CVE リンクで入手できます。

Red Hat Certificate System は、エンタープライズ公開鍵基盤(PKI)の導入を管理するために設計されたエンタープライズソフトウェアシステムです。PKI Core には、認証局(CA)サブシステムから成る、Red Hat Certificate System が必要とする基本パッケージが含まれています。

Red Hat Certificate System Agent および End Entity ページにおいて、多数のクロスサイトスクリプティングの欠陥が検出されました。攻撃者がこれらの欠陥を利用して、証明書システムの Web インターフェイスを使用している被害者に対して、クロスサイトスクリプティング(XSS)攻撃を行う可能性があります。(CVE-2012-2662)

この更新は以下のバグも修正します:

* 以前は、389-ds-base パッケージと通信するために、pki-core は SSL バージョン 3 (SSLv3)のプロトコルレンジを必要としていました。ただし、 389-ds-base に対する最近の変更で、デフォルトでの SSLv3 の使用が無効となり、 TLS プロトコルなどのセキュアなプロトコルによってサポートされるプロトコルレンジの使用が強制されるようになっています。その結果、Identity Management(IdM)サーバーのインストール中に、 CA のインストールが失敗します。この更新は、 TLS 関連パラメーターを CA の server.xml ファイルに追加してこの問題を修正し、現在、ipa-server-install コマンドを実行すると期待通りに CA がインストールされます。(BZ#1171848)

* 以前は、OpenJDK バージョン 1.8.0 をインストールしたシステムで、スタンドアロンの CA を設定しようとすると、ipa-server-install スクリプトが失敗していました。pki-core のビルドやランタイムの依存関係が、スタンドアロンの CA の構成で OpenJDK バージョン 1.7.0 を使用するように変更されました。結果として、ipa-server-install はこの状況で失敗しなくなりました。(BZ#1212557)

* CA サービスを実行している Red Hat Enterprise Linux 6 のレプリカから、Red Hat Enterprise Linux 7 のレプリカを作成すると、初期の Red Hat Enterprise Linux 6 CA マスターが削除された IdM 展開で失敗することがあります。Red Hat Enterprise Linux 6 から Red Hat Enterprise Linux 7 への移行などの一部の状況では、これが原因で問題が発生することがあります。このバグが発生したのは、初期 CA サーバーのインストール中に作成された、サブシステムユーザーが、初期マスターとともに削除された、以前のバージョンの IdM での問題が原因でした。
この更新は、前述の状況でサブシステムユーザーを復元する、 restore-subsystem-user.py スクリプトを追加し、管理者がこのシナリオで Red Hat Enterprise Linux 7 レプリカを作成できるようにします。(BZ#1225589)

* いくつかの Java インポートステートメントが、ワイルドカード引数を指定します。ただし、 Red Hat Enterprise Linux 6 のメンテナンスブランチに含まれているソースコードのインポートステートメントでのワイルドカード引数の使用のため、名前空間の衝突から正しくないクラスが使用される可能性があります。その結果、Token Processing System(TPS)の再構築テストが、エラーメッセージで失敗していました。この更新は、すべての影響を受けるエリアで完全に名前付きのクラスを提供することでこのバグを修正し、TPS の再構築テストは失敗しなくなります。(BZ#1144188)

* 以前は、pki-core が、TPS のリビルドテスト中の CMake ビルドシステムのリベースバージョンのビルドで失敗していました。pki-core ビルドファイルが更新されて、 CMake のリベースバージョンに適合するようになりました。
結果として、pki-core ビルドは、前述のシナリオで成功します。
(BZ#1144608)

pki-core のユーザーは、バックポートされたパッチが含まれるこれらの更新済みパッケージへアップグレードし、これらの問題を修正することが推奨されます。

ソリューション

影響を受ける pki-core パッケージを更新してください。

参考資料

https://oss.oracle.com/pipermail/el-errata/2015-July/005231.html

プラグインの詳細

深刻度: Medium

ID: 85101

ファイル名: oraclelinux_ELSA-2015-1347.nasl

バージョン: 2.8

タイプ: local

エージェント: unix

公開日: 2015/7/30

更新日: 2021/1/14

サポートされているセンサー: Frictionless Assessment Agent, Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Low

スコア: 3.0

CVSS v2

リスクファクター: Medium

基本値: 4.3

現状値: 3.2

ベクトル: CVSS2#AV:N/AC:M/Au:N/C:N/I:P/A:N

脆弱性情報

CPE: p-cpe:/a:oracle:linux:pki-ca, p-cpe:/a:oracle:linux:pki-common, p-cpe:/a:oracle:linux:pki-common-javadoc, p-cpe:/a:oracle:linux:pki-java-tools, p-cpe:/a:oracle:linux:pki-java-tools-javadoc, p-cpe:/a:oracle:linux:pki-native-tools, p-cpe:/a:oracle:linux:pki-selinux, p-cpe:/a:oracle:linux:pki-setup, p-cpe:/a:oracle:linux:pki-silent, p-cpe:/a:oracle:linux:pki-symkey, p-cpe:/a:oracle:linux:pki-util, p-cpe:/a:oracle:linux:pki-util-javadoc, cpe:/o:oracle:linux:6

必要な KB アイテム: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/OracleLinux

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2015/7/29

脆弱性公開日: 2012/8/13

参照情報

CVE: CVE-2012-2662

BID: 54608

RHSA: 2015:1347