検出

OracleVM 3.3/3.4:nss/nss-util(OVMSA-2017-0065)

high Nessus プラグイン ID 99568

Language:

概要

リモートのOracleVMホストに1つ以上のセキュリティ更新プログラムがありません。

説明

リモートのOracleVMシステムには、重大なセキュリティ更新に対処するために必要なパッチがありません:nss - ベンダーを変更するためにnss-vendor.patchを追加 - 期限切れのPayPalEE.certが更新されるまで一時的に一部のテストを無効化 - 3.28.4へのリベース - tstclnt -Wでクラッシュを修正 - gtestを調整して以前のsoftokenとダウンストリームのパッチで実行 - Hubert Kario氏に指摘された暗号化パッケージの順序付けの変更を回避 - 3.28.3へのリベース - アップストリーム化されたmoz-1282627-rh-1294606.patch、moz-1312141-rh-1387811.patch、moz-1315936.patch、moz-1318561.patchを削除 - 不要となったnss-duplicate-ciphers.patchを削除 - X25519を無効化しそれを使用するテストを削除 - キャッチがRSAキーのASN1復号に失敗、Kamil Dudka氏による指摘(#1427481)- 期限切れのPayPalEE.certを更新 - ssl_gtestでサポートされないテストケースを無効化 - sslstress.txtのファイル名を調整してRHEL 7からポーティングされたdisableSSL2testsパッチに一致させる - ストレステストからSHA384およびCHACHA20_POLY1305暗号パッケージを除外 - gtestが有効でない限りgtestおよびssl_gtestをnss_testに追加しない - NSS 3.27.2リリースで取得したパッチを追加してSSL CAの名前漏えいを修正 - パッチを追加してtests/ssl.shのBash構文エラーを修正 - パッチを追加してsslinfo.cで複製された暗号パッケージのエントリを削除 - パッチを追加して解析できないバージョン範囲のselfserv/strsclnt/tstclntを中止 - SSLKEYLOGFILEのサポートで構築 - fix_multiple_openパッチを更新してopenldapクライアントの回帰を修正 - Firefoxでクラッシュの原因となるpk11_genobj_leakパッチを削除 - ポリシーファイルにコメントを追加して末尾の空白行を保存 - CKM_TLS12_KEY_AND_MAC_DERIVEがcheck_hash_implに取って代わるsoftokenによって提供されていない場合SHA384暗号パッケージを無効化 - check_hash_impl patchの問題を修正 - パッチを追加してハッシュアルゴリズムがトークンを伴っているかどうかを確認 - パッチを追加して、これまで有効化されなかったTLS_ECDHE_[RSA,ECDSA]_WITH_AES_128_CBC_SHA256を無効化 - アップストリームパッチを追加してクラッシュを修正。Mozilla #1315936 - RSA-PSSをSSL/TLSで使用することを無効化。#1390161 - RHバグ1387811用に更新済みアップストリームパッチを使用 - RHバグ1057388、1294606、1387811を修正するアップストリームパッチを追加 - リクエスト時にgtestを有効化 - NSS 3.27.1へのリベース - nss-646045.patchは不要なため削除 - パッチ化されたコードが後に%setupで削除されるため、p-disable-md5-590364-reversed.patchはここでは動作しないので削除 - パッチ化されたコードが後に%setupで削除されるため、disable_hw_gcm.patchはここでは動作しないので削除。また、RHEL 5のみで必要なNSS_DISABLE_HW_GCM設定を削除 - EXPORT暗号化パッケージを完全に無効化するBug-1001841-disable-sslv2-libssl.patchおよびBug-1001841-disable-sslv2-tests.patchを追加。RHEL 7からポーティング - Bug-1001841-disable-sslv2-tests.patchでカバーできるdisable-export-suites-tests.patchを削除 - 1024 legacy CA証明書を許可しないことにしたため、nss-ca-2.6-enable-legacy.patchを削除 - 1023ビットより大きいDHキーサイズをサポートすることにしたためssl-server-min-key-sizes.patchを削除 - PORT_ZAllocで割り当てられたメモリ領域をクリアするため、動作していないと思われるnss-init-ss-sec-certs-null.patchを削除 - SSLv2はすでにアップストリームで無効化されているため、nss-disable-sslv2-libssl.patch、nss-disable-sslv2-tests.patch、sslauth-no-v2.patch、nss-sslstress-txt-ssl3-lower-value-in-range.patchを削除 - アップストリームで修正済みのため、fix-nss-test-filtering.patchを削除 - Fedoraからnss-check-policy-file.patchを追加 - /etc/pki/nss-legacy/nss-rhel6.config nss-utilにポリシー設定をインストール - base64のコード化の修正を受け入れるためNSS 3.28.4にリベース - NSS 3.28.3にリベース - 新規ヘッダーeccutil.hをパッケージ - 末尾に空白行のないファイルを容認 - 失われたソースファイルを追加 - NSS 3.26.0にリベース -(CVE-2016-1950)用のアップストリームパッチを削除 - バグ1335915用のp-disable-md5-590364-reversed.patchを削除

ソリューション

影響を受けるパッケージを更新してください。

参考資料

http://www.nessus.org/u?3652e035

http://www.nessus.org/u?97bdc28b

プラグインの詳細

深刻度: High

ID: 99568

ファイル名: oraclevm_OVMSA-2017-0065.nasl

バージョン: 3.5

タイプ: local

公開日: 2017/4/21

更新日: 2021/1/4

サポートされているセンサー: Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 5.9

CVSS v2

リスクファクター: Medium

基本値: 6.8

現状値: 5

ベクトル: CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P

CVSS v3

リスクファクター: High

基本値: 8.8

現状値: 7.7

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C

脆弱性情報

CPE: p-cpe:/a:oracle:vm:nss, p-cpe:/a:oracle:vm:nss-sysinit, p-cpe:/a:oracle:vm:nss-tools, p-cpe:/a:oracle:vm:nss-util, cpe:/o:oracle:vm_server:3.3, cpe:/o:oracle:vm_server:3.4

必要な KB アイテム: Host/local_checks_enabled, Host/OracleVM/release, Host/OracleVM/rpm-list

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2017/4/20

脆弱性公開日: 2016/3/13

参照情報

CVE: CVE-2016-1950