Oracle iPlanet Web Proxy Server 4.0 < 4.0.24 多個弱點

high Nessus Plugin ID 76592

概要

遠端主機上的 Web Proxy 伺服器受到多個弱點影響。

說明

遠端主機上的 Oracle iPlanet Web Proxy Server (前身為 Sun Java System Web Proxy Server) 版本為比 4.0.24 舊的 4.0 版。因此,該應用程式受到以下弱點影響:

- 網路安全性服務 (NSS) 實作不會確保資料結構經過初始化,這可導致拒絕服務或洩漏敏感資訊。(CVE-2013-1739)

- 網路安全性服務 (NSS) 實作不會正常處理 TLS False Start 功能,並且可導致攔截式攻擊。
(CVE-2013-1740)

- 存在一個錯誤,該錯誤與處理大於‘PRUint32’值大小上限的一半之輸入有關。
(CVE-2013-1741)

- 在檔案「ssl/ssl3con.c」的函式「Null_Cipher」中,存在一個與處理無效交握封包相關的錯誤,可導致任意程式碼執行。(CVE-2013-5605)

- 檔案「lib/certhigh/certvfy.c」的函式「CERT_VerifyCert」中存在一個錯誤,可導致系統將無效的憑證視為有效。
(CVE-2013-5606)

- 網路安全性服務 (NSS) 的 libssl 中含有工作階段票證處理期間發生的爭用情形。遠端攻擊者可惡意利用此瑕疵,進而引發拒絕服務。(CVE-2014-1490)

- 網路安全性服務 (NSS) 未正確限制 Diffie-Hellman 金鑰交換中的公共值,導致遠端攻擊者繞過密碼編譯保護機制。(CVE-2014-1491)

- Network Security (NSS) 程式庫中存在問題,這是因不當處理萬用字元憑證的 IDNA 網域前置詞所致。此問題可允許攔截式攻擊。(CVE-2014-1492)

解決方案

升級至 4.0.24 版或更新版本。

請注意,針對 Microsoft Windows 主機上的安裝,撰寫本文時尚無適用於 Microsoft Windows 主機的修補程式。請連絡供應商詢問該修補程式的發行日期。

另請參閱

http://www.nessus.org/u?d0f65b42

Plugin 詳細資訊

嚴重性: High

ID: 76592

檔案名稱: iplanet_web_proxy_4_0_24.nasl

版本: 1.8

類型: local

代理程式: windows

系列: Windows

已發布: 2014/7/18

已更新: 2018/11/15

支援的感應器: Nessus Agent, Nessus

風險資訊

VPR

風險因素: Medium

分數: 5.8

CVSS v2

風險因素: High

基本分數: 7.5

時間分數: 5.5

媒介: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P

弱點資訊

CPE: cpe:/a:oracle:iplanet_web_proxy_server

必要的 KB 項目: SMB/iplanet_web_proxy_server/path, SMB/iplanet_web_proxy_server/version

可輕鬆利用: No known exploits are available

修補程式發佈日期: 2014/7/15

弱點發布日期: 2014/7/15

參考資訊

CVE: CVE-2013-1739, CVE-2013-1740, CVE-2013-1741, CVE-2013-5605, CVE-2013-5606, CVE-2014-1490, CVE-2014-1491, CVE-2014-1492

BID: 62966, 63736, 63737, 63738, 64944, 65332, 65335, 66356