Mandriva Linux 安全公告:nss (MDVSA-2013:301)
high Nessus 插件 ID 71608
语言:
简介
远程 Mandriva Linux 主机缺少一个或多个安全更新。描述
已在 mozilla NSS 中发现并修正了一个漏洞:Google 向 Mozilla 发出通知,有一个绑定到 Mozillas 根存储中包含的一个根的中间证书,被加载到中间人 (MITM) 流量管理设备中。此证书的颁发者为 Agence nationale de la scurit des systmes d'information (ANSSI),是法国政府的一家机构,这家机构也是 Mozilla 的根程序中的证书颁发机构。ANSSI 下属的一家证书颁发机构错误地颁发了一个在网络监控设备上安装的中间证书,安装该中间证书的设备能够充当 MITM 代理,对不为证书持有者拥有和控制的域名或 IP 地址进行流量管理。
该问题并不是 Firefox 独有的问题,但有证据表明,其中一个证书被用于对客户非合法拥有和控制的域名进行 MITM 流量管理。通过撤销下属 CA 用于为 MITM 设备颁发证书的中间证书的信任,此问题已得到解决。
NSS 程序包已升级到 3.15.3.1 版本,不受此安全缺陷的影响。
此外,rootcerts 程序包已自 2013 年 12 月 4 日起使用 mozilla 的最新 certdata.txt 文件升级。
解决方案
更新受影响的数据包。另见
http://www.mozilla.org/security/announce/2013/mfsa2013-117.html
插件详情
严重性: High
ID: 71608
文件名: mandriva_MDVSA-2013-301.nasl
版本: 1.5
类型: local
发布时间: 2013/12/23
最近更新时间: 2021/1/6
支持的传感器: Nessus
漏洞信息
CPE: cpe:/o:mandriva:business_server:1, p-cpe:/a:mandriva:linux:rootcerts, p-cpe:/a:mandriva:linux:rootcerts-java, p-cpe:/a:mandriva:linux:nss-doc, p-cpe:/a:mandriva:linux:lib64nss3, p-cpe:/a:mandriva:linux:lib64nss-static-devel, p-cpe:/a:mandriva:linux:lib64nss-devel, p-cpe:/a:mandriva:linux:nss
必需的 KB 项: Host/local_checks_enabled, Host/cpu, Host/Mandrake/release, Host/Mandrake/rpm-list
补丁发布日期: 2013/12/23
参考资料信息
MDVSA: 2013:301