偵測

openSUSE 安全性更新:apache2-mod_nss (openSUSE-SU-2013:1956-1)

medium Nessus Plugin ID 74874

語系:

概要

遠端 openSUSE 主機缺少安全性更新。

說明

- mod_nss-CVE-2013-4566-NSSVerifyClient.diff fixes CVE-2013-4566:如果伺服器/vhost 內容中設定了「NSSVerifyClient none」(亦即伺服器設為初始連線時不要求或不需要用戶端憑證驗證),且系統透過「NSSVerifyClient require」設定,預期特定目錄需要用戶端憑證驗證,則 mod_nss 無法正確要求憑證驗證。遠端攻擊者可利用此弱點存取受限目錄的內容。[bnc#853039]

- 新增 glue 文件至 /etc/apache2/conf.d/mod_nss.conf:

- 同時使用 mod_ssl 和 mod_nss

- SNI 並行

- 適用於 apache 組態、Listen 指示詞的 SUSE 架構

- 模組初始化

- 淘汰 mod_nss-conf.patch,並個別以 nss.conf.in 或 mod_nss.conf 的臨時版本取代。這也會導致移除 mod_nss-negotiate.patch 和 mod_nss-tlsv1_1.patch 中特定區塊的 nss.conf.in。

- 新增 mod_nss_migrate.pl 轉換指令碼;不從來源修補,但會部分重寫。

- README-SUSE.txt 新增逐步指示,說明如何轉換和管理憑證與金鑰,並闡述 SLES 納入 mod_nss 的原因。

- 準備就緒且可提交的套件 [bnc#847216]

- 套件的一般清理:

- mozilla-nss >= 3.15.1 版本隨附 TLS-1.2 支援時,在其中明確指示 Requires: - 這是此 apache2-mod_nss 版本更新背後的目標。追蹤器錯誤 [bnc#847216]

- 將 /etc/apache2/alias 路徑變更為 /etc/apache2/mod_nss.d,避免解譯的目錄名稱模稜兩可。

- 若 /etc/apache2/alias 已存在,則將 /etc/apache2/alias 的內容合併至 /etc/apache2/mod_nss.d。

- 針對 /etc/apache2/mod_nss.d 中 %post 產生的 *.db 檔案,設定明確的 filemode 640

解決方案

更新受影響的 apache2-mod_nss 套件。

另請參閱

https://bugzilla.novell.com/show_bug.cgi?id=847216

https://bugzilla.novell.com/show_bug.cgi?id=853039

https://lists.opensuse.org/opensuse-updates/2013-12/msg00118.html

Plugin 詳細資訊

嚴重性: Medium

ID: 74874

檔案名稱: openSUSE-2013-1030.nasl

版本: 1.4

類型: local

代理程式: unix

已發布: 2014/6/13

已更新: 2021/1/19

支援的感應器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Nessus

風險資訊

VPR

風險因素: Low

分數: 3.7

CVSS v2

風險因素: Medium

基本分數: 4

媒介: CVSS2#AV:N/AC:H/Au:N/C:P/I:P/A:N

弱點資訊

CPE: p-cpe:/a:novell:opensuse:apache2-mod_nss, p-cpe:/a:novell:opensuse:apache2-mod_nss-debuginfo, p-cpe:/a:novell:opensuse:apache2-mod_nss-debugsource, cpe:/o:novell:opensuse:13.1

必要的 KB 項目: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list

修補程式發佈日期: 2013/12/17

參考資訊

CVE: CVE-2013-4566