偵測

Mandriva Linux 安全性公告:nss (MDVSA-2013:270)

high Nessus Plugin ID 70998

語系:

概要

遠端 Mandriva Linux 主機缺少一或多個安全性更新。

說明

在 mozilla NSPR 和 NSS 中發現多個安全性問題並已修正:

3.15.2 版之前的 Mozilla Network Security Services (NSS) 未在讀取作業之前確認資料結構是否已初始化,其允許遠端攻擊者透過會觸發解密失敗的向量,造成拒絕服務或可能有其他不明影響 (CVE-2013-1739)。

3.15.3 之前的 3.15 版 Mozilla Network Security Services (NSS) 有整數溢位,允許遠端攻擊者透過大尺寸值造成拒絕服務,或可能造成其他不明影響 (CVE-2013-1741)。

TLS 通訊協定和 SSL 通訊協定所用的 RC4 演算法有許多單一位元組偏差,其可使遠端攻擊者更容易地透過使用相同純文字的大量工作階段中加密文字的統計分析,發動純文字復原攻擊 (CVE-2013-2566)。

3.14.5 之前的 3.14 版和 3.15.3 之前的 3.15 版 Mozilla Network Security Services (NSS) 允許遠端攻擊者透過無效的交握封包,造成拒絕服務或可能造成其他不明影響 (CVE-2013-5605)。

在 3.15.3 之前的 3.15 版 Mozilla Network Security Services (NSS) 中,lib/certhigh/certvfy.c 的 CERT_VerifyCert 函式在 CERTVerifyLog 引數為有效時,針對不相容的金鑰使用方法憑證提供未預期的傳回值,其可能允許遠端攻擊者透過特製的憑證繞過預定的存取限制 (CVE-2013-5606)。

25.0.1 版之前的 Firefox、17.0.11 之前的 17.x 版和 24.1.1 之前的 24.x 版 Firefox ESR,以及 2.22.1 版之前的 SeaMonkey 所用之 4.10.2 版之前的 Mozilla Netscape Portable Runtime (NSPR) 中,PL_ArenaAllocate 函式有整數溢位,允許遠端攻擊者透過特製的 X.509 憑證,造成拒絕服務 (應用程式損毀) 或可能造成其他不明影響;此問題與 CVE-2013-1741 相關 (CVE-2013-5607)。

NSPR 套件已升級至 4.10.2 版,且 NSS 套件已升級至 3.15.3 版,不會受到這些安全性瑕疵影響。

此外,rootcerts 套件自 2013 年 11 月 11 日起,已透過來自 mozilla 的最新版 certdata.txt 檔案升級。

解決方案

更新受影響的套件。

另請參閱

http://www.mozilla.org/security/announce/2013/mfsa2013-103.html

https://bugs.mageia.org/show_bug.cgi?id=11669

https://developer.mozilla.org/en-US/docs/NSS/NSS_3.15.3_release_notes

Plugin 詳細資訊

嚴重性: High

ID: 70998

檔案名稱: mandriva_MDVSA-2013-270.nasl

版本: 1.6

類型: local

已發布: 2013/11/21

已更新: 2021/1/6

支援的感應器: Nessus

風險資訊

VPR

風險因素: Medium

分數: 5.8

CVSS v2

風險因素: High

基本分數: 7.5

時間分數: 6.5

媒介: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P

弱點資訊

CPE: p-cpe:/a:mandriva:linux:lib64nspr-devel, p-cpe:/a:mandriva:linux:lib64nspr4, p-cpe:/a:mandriva:linux:lib64nss-devel, p-cpe:/a:mandriva:linux:lib64nss-static-devel, p-cpe:/a:mandriva:linux:lib64nss3, p-cpe:/a:mandriva:linux:nss, p-cpe:/a:mandriva:linux:nss-doc, p-cpe:/a:mandriva:linux:rootcerts, p-cpe:/a:mandriva:linux:rootcerts-java, cpe:/o:mandriva:business_server:1

必要的 KB 項目: Host/local_checks_enabled, Host/cpu, Host/Mandrake/release, Host/Mandrake/rpm-list

可輕鬆利用: No known exploits are available

修補程式發佈日期: 2013/11/20

參考資訊

CVE: CVE-2013-1739, CVE-2013-1741, CVE-2013-2566, CVE-2013-5605, CVE-2013-5606, CVE-2013-5607

BID: 62966, 63737

MDVSA: 2013:270