Mandriva Linux 安全性公告:nss (MDVSA-2014:252)
high Nessus Plugin ID 80041
語系:
概要
遠端 Mandriva Linux 主機缺少一或多個安全性更新。說明
更新版 nss 套件可修正安全性弱點:在3.17.3 版之前的 NSS 之 QuickDER 解碼器中,長度的 ASN.1 DER 解碼過度寬鬆,進而允許未經偵測的任意資料走私 (CVE-2014-1569)。
此更新在 NSS 中新增了 TLS 遞補訊號加密套件值 (TLS_FALLBACK_SCSV) 的支援,其可用於防止對應用程式發動通訊協定降級攻擊,該應用程式在指定最高支援通訊協定版本的初次連線失敗時,會使用較舊的 SSL/TLS 通訊協定版本重新連線。這可防止通訊強制降級為 SSL 3.0,減輕了 CVE-2014-3566 (亦稱為 POODLE) 的影響。在此 Firefox 和 Thunderbird 更新中,SSL 3.0 支援已預設為停用,進一步減輕了 POODLE 的影響。
解決方案
更新受影響的套件。另請參閱
Plugin 詳細資訊
嚴重性: High
ID: 80041
檔案名稱: mandriva_MDVSA-2014-252.nasl
版本: 1.8
類型: local
已發布: 2014/12/16
已更新: 2021/1/6
支援的感應器: Nessus
風險資訊
VPR
風險因素: Medium
分數: 4.4
CVSS v2
風險因素: High
基本分數: 7.5
媒介: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P
弱點資訊
CPE: p-cpe:/a:mandriva:linux:lib64nss-devel, p-cpe:/a:mandriva:linux:lib64nss-static-devel, p-cpe:/a:mandriva:linux:lib64nss3, p-cpe:/a:mandriva:linux:nss, p-cpe:/a:mandriva:linux:nss-doc, p-cpe:/a:mandriva:linux:rootcerts, p-cpe:/a:mandriva:linux:rootcerts-java, cpe:/o:mandriva:business_server:1
必要的 KB 項目: Host/local_checks_enabled, Host/cpu, Host/Mandrake/release, Host/Mandrake/rpm-list
修補程式發佈日期: 2014/12/15
參考資訊
CVE: CVE-2014-1569
MDVSA: 2014:252