偵測

Debian DLA-1560-1:gnutls28 安全性更新

medium Nessus Plugin ID 118504

語系:

概要

遠端 Debian 主機缺少一個安全性更新。

說明

在 GnuTLS 中發現一組弱點,可讓攻擊者在使用特定加密類型的 TLS 連線上進行純文字復原。CVE-2018-10844 據發現,HMAC-SHA-256 的 GnuTLS 實作容易受到 Lucky Thirteen 式攻擊。遠端攻擊者可透過使用特製封包的計時資料的統計資料分析,利用此缺陷發動區分攻擊和純文字復原攻擊。CVE-2018-10845 據發現,HMAC-SHA-384 的 GnuTLS 實作容易受到 Lucky Thirteen 式攻擊。遠端攻擊者可透過使用特製封包的計時資料的統計資料分析,利用此缺陷發動區分攻擊和純文字復原攻擊。CVE-2018-10846 在 GnuTLS 實作中發現快取型旁路,可導致跨虛擬機器攻擊設定中的純文字復原。攻擊者可利用「Just in Time」Prime+probe 攻擊的組合並搭配 Lucky-13 攻擊,利用特製封包來復原純文字。針對 Debian 8「Jessie」,這些問題已在 3.3.30-0~deb8u1 版本中修正。據發現,更新到 3.3.x 分支的最新上游版本比較實際,因為上游的修正相當具有侵入性,且無論如何都需要變更密碼清單。這也將促使未來的 LTS 更新。因此,此變更還包括 NEWS 檔案中記錄的以下主要原則變更:- ARCFOUR (RC4) 和 SSL 3.0 不再包含在預設優先順序清單中。必須分別使用如「NORMAL:+ARCFOUR-128」或「NORMAL:+VERS-SSL3.0」的字串明顯啟用這些功能。- 從預設優先順序字串中刪除了使用 HMAC-SHA384 和 SHA256 的密碼。這兩個密碼對於相容性或其他目的而言都非必要,且與它們的 SHA1 對應部分相比沒有任何優勢,因為它們都依賴於傳統 TLS CBC 區塊模式。- 嚴格遵照 RFC5280 建議,並在 2050 年之前的日期使用 UTCTime。- 對憑證、OCSP 要求、私密金鑰、CRL 和憑證要求,規定使用嚴格的 DER 編碼,以減少因 BER 規則的複雜性而引起的問題。- 拒絕匯入包含副檔名的 v1 或 v2 憑證。儘管新增了新的符號,但仍會保留 API 和 ABI 相容性。上傳項目還包含許多錯誤修正。如需詳細資料,請參閱隨附的上游變更記錄。建議您升級 gnutls28 套件,不要預期嚴重損壞。注意:Tenable Network Security 已直接從 DLA 安全性公告擷取前置描述區塊。Tenable 已盡量在不造成其他問題的前提下,嘗試自動清理並將其格式化。

解決方案

升級受影響的套件。

另請參閱

https://lists.debian.org/debian-lts-announce/2018/10/msg00022.html

https://packages.debian.org/source/jessie/gnutls28

Plugin 詳細資訊

嚴重性: Medium

ID: 118504

檔案名稱: debian_DLA-1560.nasl

版本: 1.5

類型: local

代理程式: unix

已發布: 2018/10/31

已更新: 2021/1/11

支援的感應器: Agentless Assessment, Frictionless Assessment Agent, Nessus Agent, Nessus

風險資訊

VPR

風險因素: Medium

分數: 5.2

CVSS v2

風險因素: Medium

基本分數: 4.3

媒介: CVSS2#AV:N/AC:M/Au:N/C:P/I:N/A:N

CVSS v3

風險因素: Medium

基本分數: 5.9

媒介: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N

弱點資訊

CPE: p-cpe:/a:debian:debian_linux:gnutls-bin, p-cpe:/a:debian:debian_linux:gnutls-doc, p-cpe:/a:debian:debian_linux:guile-gnutls, p-cpe:/a:debian:debian_linux:libgnutls-deb0-28, p-cpe:/a:debian:debian_linux:libgnutls-openssl27, p-cpe:/a:debian:debian_linux:libgnutls28-dbg, p-cpe:/a:debian:debian_linux:libgnutls28-dev, p-cpe:/a:debian:debian_linux:libgnutlsxx28, cpe:/o:debian:debian_linux:8.0

必要的 KB 項目: Host/local_checks_enabled, Host/Debian/release, Host/Debian/dpkg-l

修補程式發佈日期: 2018/10/30

弱點發布日期: 2018/8/22

參考資訊

CVE: CVE-2018-10844, CVE-2018-10845, CVE-2018-10846