Mandriva Linux 安全公告:nss (MDVSA-2013:050)
medium Nessus 插件 ID 66064
语言:
简介
远程 Mandriva Linux 主机缺少一个或多个安全更新。描述
Google 向 Mozilla 报告,TURKTRUST(Mozillas 根程序的证书颁发机构)向客户错误地颁发了两个中间证书。该问题并不特定于 Firefox,有证据表明,其中一个证书被用于客户不具备合法拥有权或控制权的域名的中间人 (MITM) 流量管理。通过撤销对这些错颁证书的信任,解决了该问题 (CVE-2013-0743)。已升级 rootcerts 程序包以解决该缺陷,并且已重新构建 Mozilla NSS 程序包以纳入这些更改。
处理畸形 CBC 填充期间,Mozilla Network Security Services (NSS) 中的 TLS 实现未恰当考虑针对不合规的 MAC 检查操作的时序边信道攻击,这允许远程攻击者通过对构建的数据包的时序数据执行统计分析,执行区分攻击和明文恢复攻击,此问题与 CVE-2013-0169 有关 (CVE-2013-1620)。
NSPR 程序包已升级到 4.9.5 版本,原因是新版本 NSS 的依存关系。
NSS 程序包已升级到 3.14.3 版本,不易受到此问题的影响。
该 sqlite3 更新解决了在导出 MALLOC_CHECK_=3 之后使用 svn 提交时的崩溃情况。
解决方案
更新受影响的数据包。另见
https://wiki.mageia.org/en/Support/Advisories/MGAA-2012-0234
http://www.mozilla.org/security/announce/2013/mfsa2013-20.html
插件详情
严重性: Medium
ID: 66064
文件名: mandriva_MDVSA-2013-050.nasl
版本: 1.9
类型: local
发布时间: 2013/4/20
最近更新时间: 2021/1/6
支持的传感器: Nessus
风险信息
VPR
风险因素: Low
分数: 3.4
CVSS v2
风险因素: Medium
基本分数: 4.3
时间分数: 3.2
矢量: CVSS2#AV:N/AC:M/Au:N/C:P/I:N/A:N
漏洞信息
CPE: p-cpe:/a:mandriva:linux:lemon, p-cpe:/a:mandriva:linux:lib64nspr-devel, p-cpe:/a:mandriva:linux:lib64nspr4, p-cpe:/a:mandriva:linux:lib64nss-devel, p-cpe:/a:mandriva:linux:lib64nss-static-devel, p-cpe:/a:mandriva:linux:lib64nss3, p-cpe:/a:mandriva:linux:lib64sqlite3-devel, p-cpe:/a:mandriva:linux:lib64sqlite3-static-devel, p-cpe:/a:mandriva:linux:lib64sqlite3_0, p-cpe:/a:mandriva:linux:nss, p-cpe:/a:mandriva:linux:nss-doc, p-cpe:/a:mandriva:linux:rootcerts, p-cpe:/a:mandriva:linux:rootcerts-java, p-cpe:/a:mandriva:linux:sqlite3-tcl, p-cpe:/a:mandriva:linux:sqlite3-tools, cpe:/o:mandriva:business_server:1
必需的 KB 项: Host/local_checks_enabled, Host/cpu, Host/Mandrake/release, Host/Mandrake/rpm-list
易利用性: No known exploits are available
补丁发布日期: 2013/4/5
参考资料信息
CVE: CVE-2013-1620
MDVSA: 2013:050