Oracle iPlanet Web Proxy Server 4.0 < 4.0.24 多個弱點
high Nessus Plugin ID 76592
語系:
概要
遠端主機上的 Web Proxy 伺服器受到多個弱點影響。描述
遠端主機上的 Oracle iPlanet Web Proxy Server (前身為 Sun Java System Web Proxy Server) 版本為比 4.0.24 舊的 4.0 版。因此,該應用程式受到以下弱點影響:- 網路安全性服務 (NSS) 實作不會確保資料結構經過初始化,這可導致拒絕服務或洩漏敏感資訊。(CVE-2013-1739)
- 網路安全性服務 (NSS) 實作不會正常處理 TLS False Start 功能,並且可導致攔截式攻擊。
(CVE-2013-1740)
- 存在一個錯誤,該錯誤與處理大於‘PRUint32’值大小上限的一半之輸入有關。
(CVE-2013-1741)
- 在檔案「ssl/ssl3con.c」的函式「Null_Cipher」中,存在一個與處理無效交握封包相關的錯誤,可導致任意程式碼執行。(CVE-2013-5605)
- 檔案「lib/certhigh/certvfy.c」的函式「CERT_VerifyCert」中存在一個錯誤,可導致系統將無效的憑證視為有效。
(CVE-2013-5606)
- 網路安全性服務 (NSS) 的 libssl 中含有工作階段票證處理期間發生的爭用情形。遠端攻擊者可惡意利用此瑕疵,進而引發拒絕服務。(CVE-2014-1490)
- 網路安全性服務 (NSS) 未正確限制 Diffie-Hellman 金鑰交換中的公共值,導致遠端攻擊者繞過密碼編譯保護機制。(CVE-2014-1491)
- Network Security (NSS) 程式庫中存在問題,這是因不當處理萬用字元憑證的 IDNA 網域前置詞所致。此問題可允許攔截式攻擊。(CVE-2014-1492)
解決方案
升級至 4.0.24 版或更新版本。請注意,針對 Microsoft Windows 主機上的安裝,撰寫本文時尚無適用於 Microsoft Windows 主機的修補程式。請連絡供應商詢問該修補程式的發行日期。
另請參閱
Plugin 詳細資訊
嚴重性: High
ID: 76592
檔案名稱: iplanet_web_proxy_4_0_24.nasl
版本: 1.8
類型: local
代理程式: windows
系列: Windows
發布日期: 2014/7/18
更新日期: 2018/11/15
支援的感應器: Nessus Agent
風險資訊
VPR
風險因素: Medium
分數: 5.8
CVSS v2
風險因素: High
基本分數: 7.5
時間分數: 5.5
媒介: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P
時間媒介: CVSS2#E:U/RL:OF/RC:C
弱點資訊
CPE: cpe:/a:oracle:iplanet_web_proxy_server
必要的 KB 項目: SMB/iplanet_web_proxy_server/path, SMB/iplanet_web_proxy_server/version
可輕鬆利用: No known exploits are available
修補程式發佈日期: 2014/7/15
弱點發布日期: 2014/7/15
參考資訊
CVE: CVE-2013-1739, CVE-2013-1740, CVE-2013-1741, CVE-2013-5605, CVE-2013-5606, CVE-2014-1490, CVE-2014-1491, CVE-2014-1492