Mandriva Linux 安全性公告:nss (MDVSA-2013:301)
high Nessus Plugin ID 71608
語系:
概要
遠端 Mandriva Linux 主機缺少一或多個安全性更新。說明
在 mozilla NSS 中發現一個弱點並已更正:Google 通知 Mozilla,向上鏈結至 root (其包含在 Mozillas root 儲存中) 的中繼憑證已載入攔截式 (MITM) 流量管理裝置中。此憑證由 Agence nationale de la scurit des systmes d'information (ANSSI) 核發,這是一個法國政府機構,以及 Mozilla root 程式中的憑證授權單位。ANSSI 的附屬憑證授權單位誤發了一個中繼憑證,他們將該憑證安裝在網路監控裝置上,使該裝置能夠以 MITM proxy 的身分執行網域名稱或 IP 位址的流量管理,而憑證所有人實際上並未擁有或控制該網域名稱或 IP 位址。
雖然此問題並非專門針對 Firefox,但有證據顯示其中一個憑證用於網域名稱 (客戶未合法擁有或控制) 的 MITM 流量管理。透過撤銷針對 MITM 裝置核發憑證之 sbu-CA 所使用之中繼憑證中的信任,此問題得以解決。
NSS 套件已升級至 3.15.3.1 版本,此版本不會受到此安全性瑕疵影響。
此外,rootcerts 套件自 2013 年 12 月 04 日起,已透過來自 mozilla 的最新版 certdata.txt 檔案升級。
解決方案
更新受影響的套件。另請參閱
http://www.mozilla.org/security/announce/2013/mfsa2013-117.html
Plugin 詳細資訊
嚴重性: High
ID: 71608
檔案名稱: mandriva_MDVSA-2013-301.nasl
版本: 1.5
類型: local
已發布: 2013/12/23
已更新: 2021/1/6
支援的感應器: Nessus
弱點資訊
CPE: p-cpe:/a:mandriva:linux:lib64nss-devel, p-cpe:/a:mandriva:linux:lib64nss-static-devel, p-cpe:/a:mandriva:linux:lib64nss3, p-cpe:/a:mandriva:linux:nss, p-cpe:/a:mandriva:linux:nss-doc, p-cpe:/a:mandriva:linux:rootcerts, p-cpe:/a:mandriva:linux:rootcerts-java, cpe:/o:mandriva:business_server:1
必要的 KB 項目: Host/local_checks_enabled, Host/cpu, Host/Mandrake/release, Host/Mandrake/rpm-list
修補程式發佈日期: 2013/12/23
參考資訊
MDVSA: 2013:301