RHEL 6/7:nss、nss-util、および nspr(RHSA-2015:1981)
critical Nessus プラグイン ID 86745
Language:
概要
リモートの Red Hat ホストに 1 つ以上の nss / nss-util / nspr 用セキュリティ更新プログラムがありません。説明
リモートの Redhat Enterprise Linux 6 / 7 ホストに、RHSA-2015:1981 アドバイザリに記載されている複数の脆弱性の影響を受けるパッケージがインストールされています。ネットワークセキュリティサービス (NSS) は、セキュリティが有効なクライアントおよびサーバーのアプリケーションのクロスプラットフォーム開発をサポートするために設計された一連のライブラリです。Netscape Portable Runtime (NSPR) により、非 GUI オペレーティングシステム機能がプラットフォームに依存しなくなります。
NSS が特定の ASN.1 構造体を解析する方法に、use-after-poison の欠陥とヒープベースのバッファオーバーフローの欠陥が見つかりました。攻撃者がこれらの欠陥を利用して、NSS をクラッシュさせたり、NSS ライブラリに対してコンパイルされたアプリケーションを実行しているユーザーの権限で、任意のコードを実行する可能性があります。
(CVE-2015-7181、CVE-2015-7182)
NSPR にヒープベースのバッファオーバーフローが見つかりました。攻撃者がこの欠陥を利用して、NSPR をクラッシュさせたり、NSPR ライブラリに対してコンパイルされたアプリケーションを実行しているユーザーの権限で、任意のコードを実行する可能性があります。
(CVE-2015-7183)
注:CVE-2015-7183 の問題を完全に解決するためには、NSPR の PL_ARENA_ALLOCATE、PR_ARENA_ALLOCATE、PL_ARENA_GROW、または PR_ARENA_GROW マクロを使用するアプリケーションを、修正された nspr パッケージに対して再構築する必要があります。このエラータには、修正された nspr バージョンに対して再構築された nss および nss-utils パッケージが含まれています。
Red Hat は、これらの問題を報告してくれた Mozilla プロジェクトに感謝の意を表します。
Upstream は、Tyson Smith 氏、David Keeler 氏、および Ryan Sleevi 氏を最初の報告者と承認します。
nss、nss-util および nspr の全ユーザーは、バックポートされたパッチが含まれるこれらの更新済みパッケージにアップグレードし、これらの問題を修正することが推奨されます。
Tenable は、前述の記述ブロックを Red Hat Enterprise Linux セキュリティアドバイザリから直接抽出しています。
Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。
ソリューション
RHEL nss / nss-util / nspr パッケージを、RHSA-2015:1981 のガイダンスに基づいて更新してください。参考資料
http://www.nessus.org/u?516ba2e8
https://access.redhat.com/errata/RHSA-2015:1981
https://access.redhat.com/security/updates/classification/#critical
https://bugzilla.redhat.com/show_bug.cgi?id=1269345
プラグインの詳細
深刻度: Critical
ID: 86745
ファイル名: redhat-RHSA-2015-1981.nasl
バージョン: 2.21
タイプ: local
エージェント: unix
公開日: 2015/11/5
更新日: 2025/3/20
サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 5.9
Vendor
Vendor Severity: Critical
CVSS v2
リスクファクター: High
基本値: 7.5
現状値: 5.5
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P
CVSS スコアのソース: CVE-2015-7183
CVSS v3
リスクファクター: Critical
基本値: 9.8
現状値: 8.5
ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C
CVSS スコアのソース: CVE-2015-7182
脆弱性情報
CPE: p-cpe:/a:redhat:enterprise_linux:nss-pkcs11-devel, p-cpe:/a:redhat:enterprise_linux:nss-devel, p-cpe:/a:redhat:enterprise_linux:nss-tools, p-cpe:/a:redhat:enterprise_linux:nss-util, cpe:/o:redhat:enterprise_linux:7, p-cpe:/a:redhat:enterprise_linux:nss-sysinit, cpe:/o:redhat:enterprise_linux:6, p-cpe:/a:redhat:enterprise_linux:nspr-devel, p-cpe:/a:redhat:enterprise_linux:nspr, p-cpe:/a:redhat:enterprise_linux:nss-util-devel, p-cpe:/a:redhat:enterprise_linux:nss
必要な KB アイテム: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu
エクスプロイトの容易さ: No known exploits are available
パッチ公開日: 2015/11/4
脆弱性公開日: 2015/11/5