OracleVM 3.2:nss (OVMSA-2016-0066)
critical Nessus プラグイン ID 91747
Language:
概要
リモートの OracleVM ホストにセキュリティ更新がありません。説明
リモートの OracleVM システムに、重要なセキュリティ更新に対処するために必要なパッチがありません。- さらに多くの場所で SSL_DH_MIN_P_BITS を修正します。
- 以前にリリースされたビルドと同様に、SSL_DH_MIN_P_BITS を 768 のままにしておきます。
- SSL テストを実行します
- 互換性パッチを追加して、回帰を回避します
- 全ての ssl.sh テストが実行されることを確認
- nss 3.21 にリベースします
- 解決:バグ 1297944 - Firefox 45 の準備において RHEL 5.11.z を NSS 3.21 にリベースします
- 実際には、NSS 3.19.2.3 から CVE-2016-1950 の修正を適用します...
- NSS 3.19.2.3 からの CVE-2016-1950 の修正が含まれます
- 解決:バグ 1269354 - CVE-2015-7182(CVE-2015-7181)
- nss を 3.19.1 にリベースします
- 3.19.1 により引き起こされたクライアント認証の回帰に対して Upstream 修正を採用します
- Upstream の変更を最小キーサイズに戻します
- リベースにより非推奨になったパッチを削除します
- リベースのアカウントで既存のパッチを更新します
- nss-3.19.1 から Upstream パッチを取り出します
- 解決:バグ 1236954 - CVE-2015-2730 NSS:ECDSA 署名の検証で、一部の署名を正しく処理することに失敗します(MFSA 2015-64)
- 解決:バグ 1236967 - CVE-2015-2721 NSS:ServerKeyExchange のスキップを不適切に許可していました(MFSA 2015-71)
- RHEL 6.x で、TLS バージョンのデフォルトを変更せず維持します。
- NSS 3.18.1 から CKBI 2.4 に更新します(NSS 3.18.1 の唯一の変更)
- PayPalICA.cert および PayPalRootCA.cert を nss/tests/libpkix/certs にコピーします
- 解決:バグ 1200905 - Firefox 38 ESR に対して nss を 3.18 にリベース [RHEL-5.11]
- 更新して、リベースのために nss-646045.patch を再有効化します。
- 追加的な ssl テストサイクルを有効にし、一部が有効にされない理由を文書化します
- 解決:バグ 1200905 - Firefox 38 ESR に対して nss を 3.18 にリベース [RHEL-5.11]
- nss/tests/all.sh でシェル構文エラーを修正します
- 解決:バグ 1200905 - Firefox 38 ESR に対して nss を 3.18 にリベース [RHEL-5.11]
- ビルドを中断している期限切れの PayPal テスト証明書を置き換えます
- 解決:バグ 1200905 - Firefox 38 ESR に対して nss を 3.18 にリベース [RHEL-5.11]
- 解決:バグ 1200905 - Firefox 38 ESR に対して nss を 3.18 にリベース [RHEL-5.11]
- 解決:バグ 1158159 - Firefox 31.3 向け NSS 3.16.2.3 にアップグレードします
- 旧来の softokn API と互換性があるように softokn パッチを調整します。
- 解決:バグ 1145430 - (CVE-2014-1568)
- NSS 3.16.2.1 と共に公開されたパッチを追加します
- 解決:バグ 1145430 - (CVE-2014-1568)
- Firefox 31 ESR により要求された nss-3.12.6 の Upstream 修正をバックポートします
- 解決:バグ 1110860
- FF31 用の nss-3.16.1 にリベースします
- 解決:バグ 1110860 - RHEL 5.11 での nss を FF 31 に必要な NSS 3.16.1 にリベースします
- 未使用および非推奨のパッチを削除します
- 関連:バグ 1032468
- %check セクションでエラーを検知するためのシェルコードを改善します
- 解決:バグ 1035281 - nss.spec での準最適なシェルコード
- 1 つの誤って発行された anssi 証明書における信頼が取り消されます
- 解決:バグ 1042684 - nss:誤って発行された ANSSI/DCSSI 証明書(MFSA 2013-117)
- rhel-10.Z ブランチで行われた修正を採用し、未使用のパッチを削除します
- 解決:rhbz#1032468 - CVE-2013-5605 CVE-2013-5606(CVE-2013-1741)nss:さまざまな欠陥 [rhel-5.11]
- 未使用のパッチを削除し、nss-3.15.3 への更新用にタグを付け直します
- 解決:rhbz#1032468 - CVE-2013-5605 CVE-2013-5606(CVE-2013-1741)nss:さまざまな欠陥 [rhel-5.11]
- nss-3.15.3 に更新します
- 解決:rhbz#1032468 - CVE-2013-5605 CVE-2013-5606(CVE-2013-1741)nss:さまざまな欠陥 [rhel-5.11]
- 未使用のパッチを削除してください
- 解決:rhbz#1002642 - RHEL 5 を NSS 3.15.1 にリベースします(FF 24.x 用)
- nss-3.15.1 にリベース
- 解決:rhbz#1002642 - RHEL 5 を NSS 3.15.1 にリベースします(FF 24.x 用)
- 解決:rhbz#1015864 - [回帰] NSS は MD5 証明書をすでに信頼していません
- %check セクションテストを、freebl/softoken とそれ以外の nss テストの 2 つに分割します
- リベースのアカウントで、さまざまなパッチと仕様ファイルの手順を調整します
- リベースのアカウントで、さまざまなパッチを追加し、非推奨のパッチを削除します
- freeb/softoken パッチが rhel-6 nss-softokn 内の該当するパッチと一致するように、パッチ番号を付け直します
- freebl ソースを rhel-6.5 用の該当するソースと同一のものにします
- 関連:rhbz#987131
- パッチを調整して、upstrean nss で syncup を完成させます
- 仕様ファイルで行うように、パッチで NSS_DISABLE_HW_GCM を使用します
- softoken/freebl コードが nss サイドと softoken サイドで同じであることを確認します
- 関連:rhbz#987131
- disable_hw_gcm.patch を追加し、仕様ファイルで NSS_DISABLE_HW_GCM=1 をエクスポートします
- 旧式カーネルによるサポートが不足しているため、RHEL-5 で HW GCM を無効にします
- 関連:rhbz#987131
- 関連:rhbz#987131 - テストの一部として cpuifo を表示します
- 解決:rhbz#987131 - nss-3.14.3 のリリース以降に適用された、さまざまな Upstream GCM コード修正を採用します
- 79c87e69caa7454cbcf5f8161a628c538ff3cab3 にロールバックします
- 以前に追加したパッチは sporadic のコアダンプを解決していません
- 関連:rhbz#983766 - nssutil_ReadSecmodDB はメモリを漏洩します
- 解決:rhbz#983766 - nssutil_ReadSecmodDB はメモリを漏洩します
- sporadic blapitest のコアダンプを解消するためのパッチを追加します
- RHEL-5 でのバイナリ互換性に必要な「export NO_FORK_CHECK=1」を復元します
- 未使用のパッチを削除してください
- 解決:rhbz#918948 - [RFE][RHEL5] nss-3.14.3 にリベースします
- 解決:rhbz#807419 - nss-tools certutil -H はすべてのオプションを一覧表示しません
- ecc の有効化と aes gcm に対して Upstream 修正を適用します
- Upstream に従って、EC_MIN_KEY_BITS および EC_MAX_KEY_BITS の 2 つのマクロの名前を変更します
- いくつかの upstream AES GCM 修正を適用します
- 解決:rhbz#960241 - nss および freebl で ECC を有効にします
- 解決:rhbz#918948 - [RFE][RHEL5]
- suite b に制限されていた ECC サポートを有効にします
- %check セクションで NSS_ENABLE_ECC=1 をエクスポートして、ecc を適切にテストします
- 解決:rhbz#960241 - nss および freebl で ECC を有効にします
- ABI 互換性のために、softoken をコンパイルする際に -DNO_FORK_CHECK を定義します
- 解決:rhbz#918948 - [RFE][RHEL5] nss-3.14.3 にリベースして lucky-13 の問題を修正します
- 非推奨の nss-nochktest.patch を削除します
- 関連:rhbz#960241 - nss および freebl で ECC を有効にします
- 未ストリップのソースを使用することで ECC を有効にします
- 解決:rhbz#960241 - nss および freebl で ECC を有効にします
- 失敗が報告されていた rpmdiff テストを修正し、その他の不要な変更を削除します
- 解決:rhbz#918948 - [RFE][RHEL5] nss-3.14.3 にリベースして lucky-13 の問題を修正します
- 2013 年 4 月 22 日(月)Elio Maldonado 氏 - 3.14.3-3
- NSS_3_14_3_RTM に更新します
- リベースを再修正して、必要な idiosynchracies を維持します
- 追加のビルドツリーから frebl/softoken を確実にインストールします
- freebl スタティックライブラリまたはその非公開ヘッダーを含まないようにします
- 最近のものであるとは限らないシステム sqlite に対処するためのパッチを追加します
- nss-sysinit も sharedb もインストールしないようにします
- 解決:rhbz#918948 - [RFE][RHEL5] nss-3.14.3 にリベースして lucky-13 の問題を修正します
- 2013 年 4 月 01 日(月)Elio Maldonado 氏 - 3.14.3-2
- 3.14.3 に更新された freebl-softoken ソースの tar ball を復元します
- clarity 用のソースの番号を一部付け直します
- 解決:rhbz#918948 - [RFE][RHEL5] nss-3.14.3 にリベースして lucky-13 の問題を修正します
- NSS_3_14_3_RTM に更新します
- 解決:rhbz#918948 - [RFE][RHEL5] nss-3.14.3 にリベースして lucky-13 の問題を修正します
- 解決:rhbz#891150 - TURKTRUST が誤って発行した
*.google.com の証明書を信頼しないようにします
- NSS_3_13_6_RTM に更新します
- 解決:rhbz#883788 - [RFE][RHEL5] NSS >= 3.13.6 にリベースします
- 解決:rhbz#820684
- attrFlagsArray での最終エントリが [NAME_SIZE(unextractable)、PK11_ATTR_UNEXTRACTABLE] になるように修正します
- 解決:rhbz#820684
- PKCS #11 属性用のユーザー指定のフラグを、certutil が処理できるようにします。
- これにより、certutil は、厳密なハードウェアトークンでキーを生成できるようになります。
- パッチのメタ情報領域でエラーを修正します(コード変更なし)
- 関連:rhbz#830304 - ia64/i386 multilib nss のインストールの失敗を修正します
- RHEL-5.0 からの nss 更新を対象としていた、すでに不要な %pre および %preun のスクリプトレットを削除します
- 関連:rhbz#830304 - %post 行への変更を修正します
- /sbin/lconfig がスクリプトレットの始めにあることを、複数のコマンドの要件にします
- 解決:rhbz#830304 - multilib とスクリプトレットの問題を修正します
- パッケージのガイドラインに従い、%post 行と %postun 行を修正します
- パッケージのガイドラインに従い、%[?_isa] をツールの要件に追加します
- rpmlint により報告されていた、explicit-lib-dependency zlib のエラーを修正します
- 解決:rhbz#830304 - nss.pc.in への不要な変更を削除します
- NSS_3_13_5_RTM に更新します
- 解決:rhbz#830304 - RHEL 5.x を NSS 3.13.5 および Mozilla 10.0.6 用の NSPR 4.9.1 に更新します
- 解決:rhbz#797939 - nss を初期化することに失敗するクライアントから NSS_Shutdown を保護します
- 解決:バグ 788039 - タグを付け直して更新問題を阻止します
- 解決:バグ 788039 - nss をリベースして、firefox 10 LTS をリベースできるようにします
- 4.8.9 に更新
- 解決:バグ 713373 - サービス httpd をリロードした後でのファイル記述子の漏洩
- nss がすでに初期化されている場合、または db が存在しない場合は、nss を初期化しないようにします
- RHEL-5-7-Z ブランチよりもバージョンが上位の Y-stream に対して、タグを付け直します
- タグを付け直して、n-v-r を RHEL-5-7-Z ブランチ用のものと同じ高さにしておきます
- ビルトイン証明書を NSSCKBI_1_88_RTM からのものに更新します
- httpd の再ロードでファイル記述子の漏洩を阻止します
- ビルトイン証明書を NSSCKBI_1_87_RTM からのものに更新します
- ビルトイン証明書を NSSCKBI_1_86_RTM からのものに更新します
- ビルトイン証明書を NSSCKBI_1_85_RTM に更新します
- 3.12.10 に更新
- libcrmf でハードコードされている、ラップされた秘密鍵の最大サイズを修正します
- パッチを通じて、ビルトイン証明書を NSS_3.12.9_WITH_CKBI_1_82_RTM に更新します
- ビルトイン証明書を NSS_3.12.9_WITH_CKBI_1_82_RTM からのものに更新します
- 3.12.8 に更新
ソリューション
影響を受ける nss パッケージを更新してください。参考資料
https://oss.oracle.com/pipermail/oraclevm-errata/2016-June/000488.html
プラグインの詳細
深刻度: Critical
ID: 91747
ファイル名: oraclevm_OVMSA-2016-0066.nasl
バージョン: 2.7
タイプ: local
公開日: 2016/6/22
更新日: 2021/1/4
サポートされているセンサー: Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 6.7
CVSS v2
リスクファクター: High
基本値: 7.5
現状値: 5.5
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P
CVSS v3
リスクファクター: Critical
基本値: 9.8
現状値: 8.5
ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C
脆弱性情報
CPE: p-cpe:/a:oracle:vm:nss, cpe:/o:oracle:vm_server:3.2
必要な KB アイテム: Host/local_checks_enabled, Host/OracleVM/release, Host/OracleVM/rpm-list
エクスプロイトの容易さ: No known exploits are available
パッチ公開日: 2016/6/21
脆弱性公開日: 2013/11/18
参照情報
CVE: CVE-2013-1741, CVE-2013-5605, CVE-2013-5606, CVE-2014-1568, CVE-2015-2721, CVE-2015-2730, CVE-2015-7181, CVE-2015-7182, CVE-2016-1950