Rocky Linux 8nss (RLSA-2021:0538)
critical Nessus Plugin ID 184896
語言:
概要
遠端 Rocky Linux 主機缺少一個或多個安全性更新。說明
遠端 Rocky Linux 8 主機已安裝受到多個弱點影響的套件如 RLSA-2021:0538 公告中所提及。- 將座標從投影轉換為仿射時,並未在常數時間執行模組化反轉,因此可能導致計時型側通道攻擊。此弱點會影響 Firefox < 80 和 Firefox for Android < 80。(CVE-2020-12400)
- 在 ECDSA 簽章產生期間,為確保移除常數時間純量乘法而在 nonce 中套用填補,進而導致依賴秘密資料的變數時間執行。此弱點會影響 Firefox < 80 和 Firefox for Android < 80。(CVE-2020-12401)
- 3.55 之前版本的 NSS 中實作 CHACHA20-POLY1305 的方式發現一個缺陷。當使用多部分 Chacha20 時,可能會造成超出邊界讀取。此問題已透過明確停用多部分 ChaCha20 (其無法正確運作) 並嚴格執行標籤長度來修正。此弱點對機密性及系統可用性的威脅最大。(CVE-2020-12403)
- 執行 EC 純量點乘法時,使用了 wNAF 點乘演算法;洩漏了簽章產生期間所使用之 nonce 的部分資訊。只要有數個簽章產生的磁軌,就可以計算出私密金鑰。此弱點會影響 Firefox < 80 和 Firefox for Android < 80。(CVE-2020-6829)
請注意,Nessus 並未測試這些問題,而是僅依據應用程式自我報告的版本號碼作出判斷。
解決方案
更新受影響的套件。另請參閱
https://errata.rockylinux.org/RLSA-2021:0538
https://bugzilla.redhat.com/show_bug.cgi?id=1826187
https://bugzilla.redhat.com/show_bug.cgi?id=1853983
https://bugzilla.redhat.com/show_bug.cgi?id=1868931
https://bugzilla.redhat.com/show_bug.cgi?id=1896431
https://bugzilla.redhat.com/show_bug.cgi?id=1896432
Plugin 詳細資訊
嚴重性: Critical
ID: 184896
檔案名稱: rocky_linux_RLSA-2021-0538.nasl
版本: 1.0
類型: local
已發布: 2023/11/7
已更新: 2023/11/7
支援的感應器: Nessus Agent, Continuous Assessment, Nessus
風險資訊
VPR
風險因素: Medium
分數: 5.2
CVSS v2
風險因素: Medium
基本分數: 6.4
時間性分數: 4.7
媒介: CVSS2#AV:N/AC:L/Au:N/C:P/I:N/A:P
CVSS 評分資料來源: CVE-2020-12403
CVSS v3
風險因素: Critical
基本分數: 9.1
時間性分數: 7.9
媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:H
時間媒介: CVSS:3.0/E:U/RL:O/RC:C
弱點資訊
CPE: p-cpe:/a:rocky:linux:nss-tools-debuginfo, p-cpe:/a:rocky:linux:nss-softokn-freebl-debuginfo, p-cpe:/a:rocky:linux:nss-util, p-cpe:/a:rocky:linux:nss-util-debuginfo, p-cpe:/a:rocky:linux:nss-devel, p-cpe:/a:rocky:linux:nss-tools, p-cpe:/a:rocky:linux:nss-debuginfo, p-cpe:/a:rocky:linux:nss-softokn-freebl, p-cpe:/a:rocky:linux:nss-util-devel, p-cpe:/a:rocky:linux:nss-softokn-freebl-devel, p-cpe:/a:rocky:linux:nss-sysinit, p-cpe:/a:rocky:linux:nss-softokn-devel, p-cpe:/a:rocky:linux:nss-debugsource, p-cpe:/a:rocky:linux:nss-softokn, p-cpe:/a:rocky:linux:nss-softokn-debuginfo, p-cpe:/a:rocky:linux:nss-sysinit-debuginfo, cpe:/o:rocky:linux:8, p-cpe:/a:rocky:linux:nss
必要的 KB 項目: Host/local_checks_enabled, Host/cpu, Host/RockyLinux/release, Host/RockyLinux/rpm-list
可輕鬆利用: No known exploits are available
修補程式發佈日期: 2021/2/16
弱點發布日期: 2020/8/13
參考資訊
CVE: CVE-2020-12400, CVE-2020-12401, CVE-2020-12403, CVE-2020-6829