偵測

RHEL 5:Red Hat Certificate System 8 (RHSA-2017:2560)

medium Nessus Plugin ID 210259

語言:

概要

遠端 Red Hat 主機缺少安全性更新。

說明

遠端 Redhat Enterprise Linux 5 主機上安裝的套件受到 RHSA-2017:2560 公告中提及的弱點影響。

 Red Hat Certificate System 是一種企業級軟體系統的完全實作,專為管理企業公開金鑰基礎架構 (PKI) 部署而設計。

 安全性修正:

 * 在 Red Hat Certificate System 處理用戶端提供的憑證時,發現一個輸入驗證錯誤。如果憑證中沒有 certreq 欄位,則會觸發宣告錯誤,進而造成拒絕服務。 (CVE-2017-7509)

 錯誤修正:

 * 之前,Token Management System (TMS) 要求擱置的憑證必須先變成有效,才能將其撤銷。此更新會移除該限制,而且現在可以直接撤銷目前擱置的憑證。(BZ#1262000)

 * 透過此更新,可以使用現有的 CA 簽署憑證/金鑰安裝 Red Hat Certificate System 執行個體。此現有 CA 可以是來自不同供應商的功能性 CA,也可以是為將其鏈結至公開認可的 CA 而產生並由外部 CA 簽署的金鑰或 CSR。

 請注意,此功能只有在使用 pkisilent 工具安裝時受支援,而在使用圖形使用者介面時則不受支援。此外,由於 CSR 是在設定 CA 執行個體之前從外部產生,且並未儲存在 NSS 安全性資料庫中,因此應理解,附加至儲存在 /var/lib/ pki-ca/conf/CS.cfg 檔案的 ca.signing.certreq 變數的 CSR 值是在設定期間建立的 CSR 重建,而非用來取得現有 CA 憑證的原始 CSR。(BZ#1280391)

 * 之前,CRLDistributionPointsExtension 中的錯誤導致在 Certificate Manager 圖形介面中檢視某些憑證設定檔時遇到問題。此錯誤現已修正,可正常檢視前述設定檔。(BZ#1282589)

 * 之前,如果在憑證撤銷清單 (CRL) 產生期間失去對元件 (例如 HSM 或 LDAP 伺服器) 的存取權,CA 可能會停滯在產生大量記錄項目的迴圈中,直到問題解決為止。為避免這些情況,在此修補程式中引入了兩個新的組態參數,讓 CA 變慢。(BZ#1290650)

 * 已對 Token Processing System (TPS) 套用修補程式,確保在所有情況下都能正確處理 symmetricKeys.requiredVersion 選項。(BZ#1302103)

 * 已對憑證系統 Token Processing System (TPS) 套用修補程式,以修正透過作用中權杖註冊時不一定會清除現有物件的錯誤。(BZ#1302116)

 * 此更新可修正 Token Processing System (TPS) 無法在某些 G&D 智慧卡上正確執行重新註冊作業 (取得目前已註冊的權杖並以新憑證再次註冊) 的錯誤。(BZ#1320283)

 * Token Processing System (TPS) 之前在使用新憑證和金鑰重新註冊權杖時,可能會在權杖的 Coolkey applet 中留下舊資料。此錯誤現已修正,成功重新註冊後,只會保留與實際位於權杖上之憑證相關聯的資料。(BZ#1327653)

 * 之前,在重新註冊作業結束時設定權杖的最終生命週期狀態時發生一個問題,可導致無法報告其已正確註冊。此錯誤現已修正,重新註冊的權杖現在會準確地報告其註冊狀態。(BZ#1382376)

 * 在此更新之前,ECDSA 憑證在參數欄位中發出 NULL 值。這些憑證不符合 RFC 5758 規格,該規格要求此欄位必須完全省略。此錯誤已修正,現在發出的 ECDSA 憑證不含參數欄位。
 (BZ#1454414)

Tenable 已直接從 Red Hat Enterprise Linux 安全公告擷取前置描述區塊。

請注意,Nessus 並未測試此問題,而是僅依據應用程式自我報告的版本號碼作出判斷。

解決方案

更新受影響的套件。

另請參閱

https://access.redhat.com/security/updates/classification/#moderate

https://bugzilla.redhat.com/show_bug.cgi?id=1456030

http://www.nessus.org/u?dd52c5ad

https://access.redhat.com/errata/RHSA-2017:2560

Plugin 詳細資訊

嚴重性: Medium

ID: 210259

檔案名稱: redhat-RHSA-2017-2560.nasl

版本: 1.2

類型: local

代理程式: unix

已發布: 2024/11/5

已更新: 2025/3/20

支援的感應器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus

風險資訊

VPR

風險因素: Low

分數: 3.6

Vendor

Vendor Severity: Moderate

CVSS v2

風險因素: Medium

基本分數: 4

時間性分數: 3

媒介: CVSS2#AV:N/AC:L/Au:S/C:N/I:N/A:P

CVSS 評分資料來源: CVE-2017-7509

CVSS v3

風險因素: Medium

基本分數: 6.5

時間性分數: 5.7

媒介: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H

時間媒介: CVSS:3.0/E:U/RL:O/RC:C

弱點資訊

CPE: cpe:/o:redhat:enterprise_linux:5, p-cpe:/a:redhat:enterprise_linux:pki-common, p-cpe:/a:redhat:enterprise_linux:redhat-pki-ca-ui, p-cpe:/a:redhat:enterprise_linux:pki-util-javadoc, p-cpe:/a:redhat:enterprise_linux:pki-util, p-cpe:/a:redhat:enterprise_linux:pki-silent, p-cpe:/a:redhat:enterprise_linux:pki-kra, p-cpe:/a:redhat:enterprise_linux:pki-tps, p-cpe:/a:redhat:enterprise_linux:pki-ca, p-cpe:/a:redhat:enterprise_linux:pki-common-javadoc

必要的 KB 項目: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu

可輕鬆利用: No known exploits are available

修補程式發佈日期: 2017/8/30

弱點發布日期: 2017/8/30

參考資訊

CVE: CVE-2017-7509

CWE: 20

RHSA: 2017:2560