偵測

Mandriva Linux 安全性公告:nss (MDVSA-2014:139)

critical Nessus Plugin ID 76885

語系:

概要

遠端 Mandriva Linux 主機缺少一或多個安全性更新。

說明

在 mozilla NSS 中發現一個弱點並已更正:

用於 31.0 之前版本的 Firefox、24.7 之前版本的 Firefox ESR 24.x 以及 24.7 之前版本的 Thunderbird 的 Mozilla Network Security Services (NSS) 3.x 的 libnss3.so 中,CERT_DestroyCertificate 函式中存有釋放後使用弱點,可允許遠端攻擊者透過向量 (可觸發從信任網域特定不當移除 NSSCertificate 結構) 來執行任意程式碼 (CVE-2014-1544)。

更新版套件已升級至最新的 NSS (3.16.3) 版本,不會受到此問題的影響。

作為 MDVSA-2014:125 的一部分完成的 nss 3.16.1 更新引入了一個迴歸,這是因為上游變更:「對法國政府 root CA ANSSI (DCISS) 所設的名稱限制」所導致。此變更將無法如目前的實作正常運作,因為法國政府 root CA 簽署了多於 'gouv.fr' 的網域。所以現在我們還原了該變更,直到其正確修正上游為止 (mga#13563)。

此外,自 2014 年 07 月 03 日起,rootcerts 套件也已更新至最新版本,其可新增、移除和不信任數個憑證。

解決方案

更新受影響的套件。

另請參閱

http://advisories.mageia.org/MGAA-2014-0135.html

https://bugs.mageia.org/show_bug.cgi?id=13563

http://www.nessus.org/u?a9bc9e12

http://www.nessus.org/u?d0ee8a6e

https://www.mozilla.org/security/announce/2014/mfsa2014-63.html

Plugin 詳細資訊

嚴重性: Critical

ID: 76885

檔案名稱: mandriva_MDVSA-2014-139.nasl

版本: 1.7

類型: local

已發布: 2014/7/30

已更新: 2021/1/6

支援的感應器: Nessus

風險資訊

VPR

風險因素: Medium

分數: 5.9

CVSS v2

風險因素: Critical

基本分數: 10

時間分數: 8.7

媒介: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

弱點資訊

CPE: p-cpe:/a:mandriva:linux:rootcerts, p-cpe:/a:mandriva:linux:rootcerts-java, cpe:/o:mandriva:business_server:1, p-cpe:/a:mandriva:linux:lib64nss-devel, p-cpe:/a:mandriva:linux:lib64nss-static-devel, p-cpe:/a:mandriva:linux:lib64nss3, p-cpe:/a:mandriva:linux:nss, p-cpe:/a:mandriva:linux:nss-doc

必要的 KB 項目: Host/local_checks_enabled, Host/cpu, Host/Mandrake/release, Host/Mandrake/rpm-list

可輕鬆利用: No known exploits are available

修補程式發佈日期: 2014/7/29

參考資訊

CVE: CVE-2014-1544

BID: 68816

MDVSA: 2014:139