Mandriva Linux 安全公告:nss (MDVSA-2013:270)

high Nessus 插件 ID 70998

简介

远程 Mandriva Linux 主机缺少一个或多个安全更新。

描述

已在 mozilla NSPR 和 NSS 中发现并修复了多种安全问题:

低于 3.15.2 的 Mozilla Network Security Services (NSS) 未确保在读取操作之前初始化数据结构,从而允许远程攻击者通过触发解密失败的矢量造成拒绝服务或可能造成其他不明影响 (CVE-2013-1739)。

低于 3.15.3 的 Mozilla Network Security Services (NSS) 3.15 中的整数溢出允许远程攻击者通过较大的大小值造成拒绝服务或可能造成其他不明影响 (CVE-2013-1741)。

RC4 算法在 TLS 协议和 SSL 协议中使用时,有很多单字节偏差,使得远程攻击者可通过对大量使用相同明文的会话中的密文执行统计分析,更轻易地实施明文恢复攻击 (CVE-2013-2566)。

低于 3.14.5 的 Mozilla Network Security Services (NSS) 3.14 和低于 3.15.3 的 Mozilla Network Security Services 3.15 允许远程攻击者通过无效的握手数据包造成拒绝服务或可能造成其他不明影响 (CVE-2013-5605)。

在低于 3.15.3 的 Mozilla Network Security Services (NSS) 3.15 的 lib/certhigh/certvfy.c 中,CERT_VerifyCert 函数在 CERTVerifyLog 参数无效时向不兼容的密钥使用证书提供非预期返回值,这可能允许远程攻击者通过构建的证书绕过预期访问限制 (CVE-2013-5606)。

当在低于 25.0.1 的 Firefox、低于 17.0.11 的 Firefox ESR 17.x、低于 24.1.1 的 Firefox ESR 24.x 和低于 2.22.1 的 SeaMonkey 中使用时,低于 4.10.2 的 Mozilla Netscape Portable Runtime (NSPR) 中的 PL_ArenaAllocate 函数的整数溢出许远程攻击者通过构建的 X.509 证书造成拒绝服务(应用程序崩溃)或可能造成其他不明影响,此问题与 CVE-2013-1741 有关 (CVE-2013-5607)。

NSPR 程序包已更新到 4.10.2 版本,NSS 程序包已更新到 3.15.3 版本(此版本不受这些安全缺陷的影响)。

此外,rootcerts 程序包已自 2013 年 11 月 11 日起使用 mozilla 的最新 certdata.txt 文件升级。

解决方案

更新受影响的数据包。

另见

http://www.mozilla.org/security/announce/2013/mfsa2013-103.html

https://bugs.mageia.org/show_bug.cgi?id=11669

https://developer.mozilla.org/en-US/docs/NSS/NSS_3.15.3_release_notes

插件详情

严重性: High

ID: 70998

文件名: mandriva_MDVSA-2013-270.nasl

版本: 1.6

类型: local

发布时间: 2013/11/21

最近更新时间: 2021/1/6

支持的传感器: Nessus

风险信息

VPR

风险因素: Medium

分数: 5.8

CVSS v2

风险因素: High

基本分数: 7.5

时间分数: 6.5

矢量: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P

漏洞信息

CPE: cpe:/o:mandriva:business_server:1, p-cpe:/a:mandriva:linux:rootcerts, p-cpe:/a:mandriva:linux:lib64nspr-devel, p-cpe:/a:mandriva:linux:rootcerts-java, p-cpe:/a:mandriva:linux:nss-doc, p-cpe:/a:mandriva:linux:lib64nss3, p-cpe:/a:mandriva:linux:lib64nss-static-devel, p-cpe:/a:mandriva:linux:lib64nss-devel, p-cpe:/a:mandriva:linux:nss, p-cpe:/a:mandriva:linux:lib64nspr4

必需的 KB 项: Host/local_checks_enabled, Host/cpu, Host/Mandrake/release, Host/Mandrake/rpm-list

易利用性: No known exploits are available

补丁发布日期: 2013/11/20

参考资料信息

CVE: CVE-2013-1739, CVE-2013-1741, CVE-2013-2566, CVE-2013-5605, CVE-2013-5606, CVE-2013-5607

BID: 62966, 63737

MDVSA: 2013:270