nspr-4.9.1-4.AXS3, nss-3.13.5-4.AXS3

エラータID: AXSA:2012-771:02

リリース日: 
2012/08/20 Monday - 20:42
題名: 
nspr-4.9.1-4.AXS3, nss-3.13.5-4.AXS3
影響のあるチャネル: 
Asianux Server 3 for x86
Asianux Server 3 for x86_64
Severity: 
High
Description: 

以下項目について対処しました。

[Security Fix]
- NSS の QuickDER デコーダの ASN.1 デコーダには (1) 長さが 0 の basic constraint あるいは (2) OCSP レスポンスの長さが 0 のフィールドによって,リモートの攻撃者がサービス拒否 (アプリケーションのクラッシュ) を引き起こす脆弱性があります。(CVE-2012-0441)

[Bug Fix]
- 認証局 (CA) が下位認証局の証明書をその顧客に発行することで、どんな名前でも証明書
を発行するのに用いることができるため,下位認証局の証明書を信用できないものとして解釈するようにしました。この修正は NSS ビルトインオブジェクトトークンを用いたアプリケーションのみ関係します。

一部CVEの翻訳文はJVNからの引用になります。
http://jvndb.jvn.jp/

解決策: 

パッケージをアップデートしてください。

CVE: 
CVE-2012-0441
The ASN.1 decoder in the QuickDER decoder in Mozilla Network Security Services (NSS) before 3.13.4, as used in Firefox 4.x through 12.0, Firefox ESR 10.x before 10.0.5, Thunderbird 5.0 through 12.0, Thunderbird ESR 10.x before 10.0.5, and SeaMonkey before 2.10, allows remote attackers to cause a denial of service (application crash) via a zero-length item, as demonstrated by (1) a zero-length basic constraint or (2) a zero-length field in an OCSP response.


追加情報: 

N/A

ダウンロード: 

SRPMS
  1. nspr-4.9.1-4.AXS3.src.rpm
    MD5: 89182e8ffad13ce261f2721da5c3e64a
    SHA-256: d86b6bbfab3276232402b12289e549e1c4d1b86f64c8f679d8347f9b8ccdedc4
    Size: 874.76 kB
  2. nss-3.13.5-4.AXS3.src.rpm
    MD5: 7a494ee7c72c8c032227a5cb3d8e6231
    SHA-256: a3f37b4cdb388ec59826813e6c567d5b3c71c05dcc01ab841a8e3ab18a22e666
    Size: 5.41 MB