偵測

MiracleLinux 3nss-3.16.1-2.AXS3 (AXSA:2014-538:03)

critical Nessus Plugin ID 290054

語言:

概要

遠端 MiracleLinux 主機缺少一個或多個安全性更新。

說明

遠端 MiracleLinux 3 主機已安裝受到多個弱點影響的套件如 AXSA:2014-538:03 公告中所提及。

 描述:
 Network Security Services (NSS) 是一組程式庫,專用於支援啟用安全性之用戶端及伺服器應用程式的跨平台開發。以 NSS 構建的應用程式可支援 SSL v2 和 v3、TLS、PKCS #5、PKCS #7、PKCS #11、PKCS #12、S/MIME、X.509 v3 憑證及其他安全性標準。
 此版本修正的安全性問題
 CVE-2013-1740 在 Mozilla Network Security Services (NSS) 3.15.4 之前的版本中,當啟用 TLS False Start 功能時,libssl 中 sslsecur.c 的 ssl_Do1stHandshake 函式允許攔截式攻擊者在特定交握流量期間使用任意 X.509 憑證偽造 SSL 伺服器。
 CVE-2014-1490 在 Mozilla Network Security Services (NSS) 3.15.4 之前版本中,如 Mozilla Firefox 27.0 之前版本、Firefox ESR 24.x 的 24.3 之前版本、Thunderbird 24.3 之前版本、SeaMonkey 2.24 之前版本以及其他產品中所使用,libssl 中存在爭用情形,允許遠端攻擊者透過會觸發錯誤取代工作階段票證之恢復交握相關的向量,造成拒絕服務 (釋放後使用),或可能造成其他不明影響。
 CVE-2014-1491 Mozilla Network Security Services (NSS) 3.15.4 之前版本,如 Mozilla Firefox 27.0 之前版本、Firefox ESR 24.x 的 24.3 之前版本、Thunderbird 24.3 之前版本、SeaMonkey 2.24 之前版本以及其他產品中所使用,未正確限制 Diffie-Hellman 金鑰交換中的公開值,遠端攻擊者可利用特定值,更輕易地繞過票證處理過程中的密碼編譯保護機制。
 CVE-2014-1492 在 3.16 之前 Mozilla Network Security Services (NSS) 中憑證檢查實作的 lib/certdb/certdb.c 中的 cert_TestHostName 函式接受國際化網域名稱 U-label 中的萬用字元其可能允許攻擊者可透過特製的憑證來偽造 SSL 伺服器。
 CVE-2014-1545 Mozilla Netscape Portable Runtime (NSPR) 4.10.6 之前版本允許遠端攻擊者透過涉及 sprintf 函式和主控台功能的向量,執行任意程式碼或造成拒絕服務 (超出邊界寫入)。
 修正錯誤
 * 在之前當系統上不存在 output.log 檔案時網路安全性服務 (NSS) 規格的 shell 會以誤判測試結果錯誤地處理測試失敗。因此某些公用程式 (例如 grep) 無法正確處理失敗。透過此更新 可修正此問題。
 * 之前ANSSI 機構的附屬憑證授權單位 (CA) 錯誤地核發了安裝於網路監控裝置的中繼憑證。因此啟用監控裝置作為 MITM (攔截式) Proxy 使用對憑證持有人未擁有或控制的網域名稱或 IP 位址執行流量管理。已撤銷發出 MITM 裝置憑證的中繼憑證信任,且此類裝置不會再用於 MITM 攻擊。
 * 之前預設拒絕 MD5 憑證因為 Network Security Services (NSS) 未信任 MD5 憑證。透過此更新 可修正此問題。

Tenable 已直接從 MiracleLinux 安全性公告擷取前置描述區塊。

請注意,Nessus 並未測試這些問題,而是僅依據應用程式自我報告的版本號碼作出判斷。

解決方案

更新受影響的 nss、nss-devel 和/或 nss-tools 套件。

另請參閱

https://tsn.miraclelinux.com/en/node/4983

Plugin 詳細資訊

嚴重性: Critical

ID: 290054

檔案名稱: miracle_linux_AXSA-2014-538.nasl

版本: 1.1

類型: local

已發布: 2026/1/16

已更新: 2026/1/16

支援的感應器: Nessus Agent, Nessus

風險資訊

VPR

風險因素: Medium

分數: 5.9

Vendor

Vendor Severity: Moderate

CVSS v2

風險因素: Critical

基本分數: 10

時間性分數: 7.8

媒介: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

CVSS 評分資料來源: CVE-2014-1545

CVSS v3

風險因素: Critical

基本分數: 9.8

時間性分數: 8.8

媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

時間媒介: CVSS:3.0/E:P/RL:O/RC:C

弱點資訊

CPE: cpe:/o:miracle:linux:3, p-cpe:/a:miracle:linux:nss-devel, p-cpe:/a:miracle:linux:nss-tools, p-cpe:/a:miracle:linux:nss

必要的 KB 項目: Host/local_checks_enabled, Host/MiracleLinux/release, Host/MiracleLinux/rpm-list, Host/cpu

可被惡意程式利用: true

可輕鬆利用: Exploits are available

修補程式發佈日期: 2014/9/22

弱點發布日期: 2014/1/9

參考資訊

CVE: CVE-2013-1740, CVE-2014-1490, CVE-2014-1491, CVE-2014-1492, CVE-2014-1545