Oracle Linux 4 / 5 : nspr / nss (ELSA-2009-1184)

high Nessus Plugin ID 67902
新推出!Plugin 嚴重性目前使用 CVSS v3

計算 Plugin 嚴重性已更新為預設使用 CVSS v3 沒有 CVSS v3 評分的 Plugin 會回歸到以 CVSS v2 計算嚴重性。您可在設定下拉式選單中切換顯示嚴重性的喜好設定

Synopsis

遠端 Oracle Linux 主機缺少一個或多個安全性更新。

描述

來自 Red Hat 安全性公告 2009:1184:

現已提供適用於 Red Hat Enterprise Linux 4 的更新版 nspr 與 nss 套件,可修正多個安全性問題與一個錯誤。

Red Hat 安全性回應團隊已將此更新評等為具有重大安全性影響。

Netscape Portable Runtime (NSPR) 為非圖形使用者介面 (GUI) 作業系統機能提供平台獨立性。這些機能包含執行緒、執行緒同步、一般檔案與網路 I/O、間隔時序、行事曆時間、基本記憶體管理 (malloc 與 free) 和共用程式庫連結。

Network Security Services (NSS) 是一組程式庫,專用於支援啟用安全性之用戶端及伺服器應用程式的跨平台開發。內建 NSS 的應用程式可支援 SSLv2、 SSLv3、TLS 和其他安全性標準。

這些更新版套件會將 NSS 從先前版本 3.12.2 升級至 3.12.4 版的預先發行版本。NSPR 的版本也已經從 4.7.3 升級至 4.7.4。

Moxie Marlinspike 報告在例如 Mozilla Firefox 等瀏覽器用來符合憑證中共用名稱之 NSS 程式庫的規則運算式剖析器中存有一個堆積溢位瑕疵。惡意網站可以觸發堆積溢位的方式顯示特製的憑證,從而導致當機,或可能以瀏覽器使用者的權限執行任意程式碼。
(CVE-2009-2404)

注意:為了在無需使用者在 Firefox 中進一步互動的情況下惡意利用此問題,需要有 Firefox 信任的憑證授權單位簽署特製的憑證,否則 Firefox 會對受害者顯示警告,告知憑證不受信任。
只有當使用者接受憑證時,才會發生溢位。

Dan Kaminsky 在例如 Firefox 等瀏覽器處理憑證中之 NULL 字元的方式中發現數個瑕疵。如果攻擊者能夠取得受 Firefox 信任之憑證授權單位簽署的特製憑證,攻擊者可在攔截式攻擊期間利用憑證,並可能誘使 Firefox 錯誤地接受它。(CVE-2009-2408)

Dan Kaminsky 發現即使不再視 MD2 為密碼編譯的強式演算法,瀏覽器仍可接受具有 MD2 雜湊簽章的憑證。這可讓攻擊者更容易建立受瀏覽器信任的惡意憑證。NSS 現在預設停用簽章內對 MD2 與 MD4 演算法的使用。(CVE-2009-2409)

這些版本升級也提供下列錯誤的修正:

* 當 Apache 伺服器正在使用 mod_nss 模組並已設定 NSSOCSP 時,對於該伺服器的 SSL 用戶端驗證失敗。用戶端的使用者代理程式收到一則錯誤訊息 (參照為「錯誤代碼:-12271」),該訊息指出由於主機拒絕該憑證,因此無法建立加密連線。

在伺服器端,/var/log/httpd/ 之下的 nss_error_log 包含下列訊息:

[錯誤] 重新交涉交握失敗:未由用戶端接受!?

此外,/var/log/httpd/error_log 也包含此錯誤:

SSL 程式庫錯誤:-8071 OCSP 伺服器遇到內部錯誤

透過這些更新版套件,已解決造成此失敗發生的相依性問題,藉由 Apache web 伺服器進行的 SSL 用戶端驗證 (使用針對 NSSOCSP 設定的 mod_nss) 可如預期成功。請注意,如果呈現的用戶端憑證已到期,則會拒絕存取,將有關無效憑證的錯誤訊息提供給使用者代理程式,並在 OCSP 回應程式中看見 OCSP 查詢。此外,執行個體啟動或重新啟動時,會針對用於 Apache 的 SSL 伺服器憑證進行類似的 OCSP 狀態證驗。(BZ#508027)

建議所有 nspr 和 nss 使用者皆升級至這些更新版套件,其可解決這些問題。

解決方案

更新受影響的 nspr 及/或 nss 套件。

另請參閱

https://oss.oracle.com/pipermail/el-errata/2009-July/001097.html

https://oss.oracle.com/pipermail/el-errata/2009-July/001099.html

Plugin 詳細資訊

嚴重性: High

ID: 67902

檔案名稱: oraclelinux_ELSA-2009-1184.nasl

版本: 1.9

類型: local

代理程式: unix

已發布: 2013/7/12

已更新: 2021/1/14

相依性: ssh_get_info.nasl

風險資訊

VPR

風險因素: Medium

分數: 5.9

CVSS v2

風險因素: High

基本分數: 9.3

媒介: AV:N/AC:M/Au:N/C:C/I:C/A:C

弱點資訊

CPE: p-cpe:/a:oracle:linux:nspr, p-cpe:/a:oracle:linux:nspr-devel, p-cpe:/a:oracle:linux:nss, p-cpe:/a:oracle:linux:nss-devel, p-cpe:/a:oracle:linux:nss-pkcs11-devel, p-cpe:/a:oracle:linux:nss-tools, cpe:/o:oracle:linux:4, cpe:/o:oracle:linux:5

必要的 KB 項目: Host/local_checks_enabled, Host/OracleLinux, Host/RedHat/release, Host/RedHat/rpm-list

修補程式發佈日期: 2009/7/31

弱點發布日期: 2009/7/30

參考資訊

CVE: CVE-2009-2404, CVE-2009-2408, CVE-2009-2409

RHSA: 2009:1184

CWE: 119, 310