Ubuntu 8.04 LTS / 8.10 / 9.04:nss 迴歸 (USN-810-3)
high Nessus Plugin ID 65117
語系:
概要
遠端 Ubuntu 主機缺少安全性相關修補程式。說明
USN-810-1 已修正 NSS 中的弱點。Jozsef Kadlecsik 發現,amd64 上的新程式庫未正確設定堆疊記憶體旗標,並造成使用 NSS 的應用程式 (例如 Firefox) 具有可執行堆疊。這會降低某些防禦安全性保護措施的效果。此更新可修正該問題。由此給您帶來的不便,我們深表歉意。
Moxie Marlinspike 發現 NSS 未正確處理憑證名稱中的規則運算式。遠端攻擊者可建立特製的憑證,造成拒絕服務 (透過應用程式損毀) 或以叫用程式的使用者權限執行任意程式碼。(CVE-2009-2404)
Moxie Marlinspike 與 Dan Kaminsky 獨立發現 NSS 未正確處理憑證名稱中具有 NULL 字元的憑證。攻擊者可惡意利用此弱點來執行攔截式攻擊,藉以檢視敏感資訊或改變加密的通訊。
(CVE-2009-2408)
Dan Kaminsky 發現 NSS 仍會接受具有 MD2 雜湊簽章的憑證。因此,攻擊者可能建立惡意的受信任憑證以模擬其他網站。(CVE-2009-2409)。
解決方案
更新受影響的 libnss3-1d 套件。另請參閱
Plugin 詳細資訊
嚴重性: High
ID: 65117
檔案名稱: ubuntu_USN-810-3.nasl
版本: 1.8
類型: local
代理程式: unix
已發布: 2013/3/9
已更新: 2021/1/19
支援的感應器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus
風險資訊
VPR
風險因素: Medium
分數: 5.9
CVSS v2
風險因素: High
基本分數: 9.3
媒介: CVSS2#AV:N/AC:M/Au:N/C:C/I:C/A:C
弱點資訊
CPE: p-cpe:/a:canonical:ubuntu_linux:libnss3-1d, cpe:/o:canonical:ubuntu_linux:8.04:-:lts, cpe:/o:canonical:ubuntu_linux:8.10, cpe:/o:canonical:ubuntu_linux:9.04
必要的 KB 項目: Host/cpu, Host/Debian/dpkg-l, Host/Ubuntu, Host/Ubuntu/release
修補程式發佈日期: 2009/9/1