nspr-4.10.2-1.AXS4, nss-3.15.3-6.0.1.AXS4, nss-util-3.15.3-1.AXS4

エラータID: AXSA:2014-054:01

リリース日: 
2014/03/18 Tuesday - 19:33
題名: 
nspr-4.10.2-1.AXS4, nss-3.15.3-6.0.1.AXS4, nss-util-3.15.3-1.AXS4
影響のあるチャネル: 
Asianux Server 4 for x86
Asianux Server 4 for x86_64
Severity: 
High
Description: 

以下項目について対処しました。

[Security Fix]
- NSS は読み込み操作の前にデータ構造を初期化するのを確かめておらず,復号化の失敗によって,リモートの攻撃者がサービス拒否を引き起こしたり,詳細不明な他の影響を引き起こす可能性のある脆弱性があります。(CVE-2013-1739)

- NSS には整数オーバーフローが存在し,大きなサイズ値によって,リモートの攻撃者がサービス拒否を引き起こしたり,あるいは詳細不明な他の影響を引き起こす可能性のある脆弱性があります。(CVE-2013-1741)

- NSS には、不正なハンドシェイクパケットによって,リモートの攻撃者がサービス拒否を引き起こしたり,あるいは詳細不明な他の影響を引き起こす可能性のある脆弱性があります。(CVE-2013-5605)

- CERTVerifyLog 引数が有効な場合,NSS の lib/certhigh/certvfy.c の CERT_VerifyCert 関数は予期できない返り値を提供し,巧妙に細工された証明書によって,リモートの攻撃者がアクセス制限を迂回する脆弱性があります。(CVE-2013-5606)

- NSPR の PL_ArenaAllocate 関数には整数オーバーフローが存在し,巧妙に細工された X.509 証明書によって,リモートの攻撃者がサービス拒否 (アプリケーションのクラッシュ) を引き起こしたり,あるいは詳細不明な他の影響を引き起こす可能性のある脆弱性があります。
この脆弱性は CVE-2013-1741 に関連する問題です。(CVE-2013-5607)

[Bug Fix]
- 制御コネクションとデータコネクションの両方が暗号化され,パスワードで保護されたプライベートキーを持つクライアントの証明書によって認証されている場合,curl が SSL 上のアクティブ FTP でやりとりに失敗し,既に認証された制御コネクションが次のエラーコードを出力して失敗してしまう問題を修正しました。
SSL_ERROR_TOKEN_INSERTION_REMOVAL.

一部CVEの翻訳文はJVNからの引用になります。
http://jvndb.jvn.jp/

解決策: 

パッケージをアップデートしてください。

CVE: 
CVE-2013-1739
Mozilla Network Security Services (NSS) before 3.15.2 does not ensure that data structures are initialized before read operations, which allows remote attackers to cause a denial of service or possibly have unspecified other impact via vectors that trigger a decryption failure.
CVE-2013-1741
Integer overflow in Mozilla Network Security Services (NSS) 3.15 before 3.15.3 allows remote attackers to cause a denial of service or possibly have unspecified other impact via a large size value.
CVE-2013-5605
Mozilla Network Security Services (NSS) 3.14 before 3.14.5 and 3.15 before 3.15.3 allows remote attackers to cause a denial of service or possibly have unspecified other impact via invalid handshake packets.
CVE-2013-5606
The CERT_VerifyCert function in lib/certhigh/certvfy.c in Mozilla Network Security Services (NSS) 3.15 before 3.15.3 provides an unexpected return value for an incompatible key-usage certificate when the CERTVerifyLog argument is valid, which might allow remote attackers to bypass intended access restrictions via a crafted certificate.
CVE-2013-5607
Integer overflow in the PL_ArenaAllocate function in Mozilla Netscape Portable Runtime (NSPR) before 4.10.2, as used in Firefox before 25.0.1, Firefox ESR 17.x before 17.0.11 and 24.x before 24.1.1, and SeaMonkey before 2.22.1, allows remote attackers to cause a denial of service (application crash) or possibly have unspecified other impact via a crafted X.509 certificate, a related issue to CVE-2013-1741.
追加情報: 

N/A

ダウンロード: 

SRPMS
  1. nspr-4.10.2-1.AXS4.src.rpm
    MD5: 3c899ee6082b0b4bf5827a48a0f68b33
    SHA-256: e74b19acbd8c59d478c2ad605bf06079fed1d90911d36746e96ad59fc420e8fe
    Size: 863.75 kB
  2. nss-util-3.15.3-1.AXS4.src.rpm
    MD5: 7f4b64b0a211caf6aaa985ea0f4d2868
    SHA-256: d66ba4ac87ff28c94232d7a208659352c6f8ebe5e13ce6db3c0bfe9c3c16cf58
    Size: 339.03 kB
  3. nss-3.15.3-6.0.1.AXS4.src.rpm
    MD5: 05b615f42076bd64566b08213aa8e687
    SHA-256: cbdaa2e507be5bca7b37ab6a671416aa788d3b9986bcee7ab26bdd22055dc957
    Size: 4.86 MB

Asianux Server 4 for x86
  1. nspr-4.10.2-1.AXS4.i686.rpm
    MD5: afb5ec9c8a8ee9f223866570366e665e
    SHA-256: 64f528447cc04754b73dda1b9fe4444c71b3ed088557e21fa8f61f36d6e78eb7
    Size: 114.75 kB
  2. nspr-devel-4.10.2-1.AXS4.i686.rpm
    MD5: 9f95c4529dbf1648931fdcc0394f0a60
    SHA-256: 154f9ca4d0b70a2d0f34ad0066246958c8f36b4d97a9f537b10f8bf5efb06355
    Size: 110.19 kB
  3. nss-util-3.15.3-1.AXS4.i686.rpm
    MD5: 54589001b4b176a6f1a54f88234ffabb
    SHA-256: 54d3582c2178ffe0dff1a03f352326cd183eb109c170d6a22d58d58d77dd4814
    Size: 63.19 kB
  4. nss-util-devel-3.15.3-1.AXS4.i686.rpm
    MD5: 8784300a99efef63db4c889e0a4f34f4
    SHA-256: 4d602333498ffcf2d7d37b40a721cc1cf7d13d554995dba858b176d9d8af8cd4
    Size: 65.66 kB
  5. nss-3.15.3-6.0.1.AXS4.i686.rpm
    MD5: 40160221ae298aa8589fe6a732a34fb5
    SHA-256: 761bafdb96624d0c205412a462bc9b7d40fc24de71f59a16b8b67f0c74fbef37
    Size: 825.67 kB
  6. nss-devel-3.15.3-6.0.1.AXS4.i686.rpm
    MD5: fb8eacfeadc6b43de9872bd8ba035428
    SHA-256: e2b73e4a11ff8b0f772059a964b4e5db5b53e9564b5bc6bc9fe260c02731fddc
    Size: 190.33 kB
  7. nss-sysinit-3.15.3-6.0.1.AXS4.i686.rpm
    MD5: 171c6b3585203355f66926954d1d6afb
    SHA-256: 9b386519aebba89792cb9a2aed65b685fee9225c504bb4703c4ef120e9d6cc63
    Size: 39.92 kB
  8. nss-tools-3.15.3-6.0.1.AXS4.i686.rpm
    MD5: a855a5ec394a0fae25a2d05840158bc8
    SHA-256: 7a922d137955c683457f849ff4191a3e067ee377c5027fd6906a3d1b626d4036
    Size: 367.34 kB

Asianux Server 4 for x86_64
  1. nspr-4.10.2-1.AXS4.x86_64.rpm
    MD5: 8a39273ec6c7c86168117d0c07081a0e
    SHA-256: 5905dcae046d4c79b00d71dc5c8ffb703dcb4170a047b68a760efb0148c0ce28
    Size: 112.21 kB
  2. nspr-devel-4.10.2-1.AXS4.x86_64.rpm
    MD5: 02a4188673ce93f226d421310c1497d0
    SHA-256: ec7b297165e566371ed3c5f32840326ffd95aaf36d6559a4fc7569b391942df6
    Size: 109.80 kB
  3. nspr-4.10.2-1.AXS4.i686.rpm
    MD5: afb5ec9c8a8ee9f223866570366e665e
    SHA-256: 64f528447cc04754b73dda1b9fe4444c71b3ed088557e21fa8f61f36d6e78eb7
    Size: 114.75 kB
  4. nspr-devel-4.10.2-1.AXS4.i686.rpm
    MD5: 9f95c4529dbf1648931fdcc0394f0a60
    SHA-256: 154f9ca4d0b70a2d0f34ad0066246958c8f36b4d97a9f537b10f8bf5efb06355
    Size: 110.19 kB
  5. nss-util-3.15.3-1.AXS4.x86_64.rpm
    MD5: eb2ba407a9d051a991e0f0e8b121a144
    SHA-256: 6975e7d1c81870ffc8580383d633168cf08ac2e58ce751f0358c910d2bd4e020
    Size: 63.42 kB
  6. nss-util-devel-3.15.3-1.AXS4.x86_64.rpm
    MD5: 7a8ba22af083e14d207f343cafbcc55f
    SHA-256: 3a9e9809b86af056b83bd72d402b000156eb31dceeaf003785ccc92184013e46
    Size: 65.23 kB
  7. nss-util-3.15.3-1.AXS4.i686.rpm
    MD5: 54589001b4b176a6f1a54f88234ffabb
    SHA-256: 54d3582c2178ffe0dff1a03f352326cd183eb109c170d6a22d58d58d77dd4814
    Size: 63.19 kB
  8. nss-util-devel-3.15.3-1.AXS4.i686.rpm
    MD5: 8784300a99efef63db4c889e0a4f34f4
    SHA-256: 4d602333498ffcf2d7d37b40a721cc1cf7d13d554995dba858b176d9d8af8cd4
    Size: 65.66 kB
  9. nss-3.15.3-6.0.1.AXS4.x86_64.rpm
    MD5: ac589bc29029449ff903b23f836b988d
    SHA-256: 13fe38debd5f3548d7ee157742f3a337082c86d087138c65891a05036af35d5d
    Size: 824.23 kB
  10. nss-devel-3.15.3-6.0.1.AXS4.x86_64.rpm
    MD5: 59b6e417652de0b838c8d0e813210747
    SHA-256: b38d8a94fdd32ad54c59e00c61f41b67d8778c05371af24928877cde14a865fd
    Size: 188.58 kB
  11. nss-sysinit-3.15.3-6.0.1.AXS4.x86_64.rpm
    MD5: db4d3fdeb6fa0bd1bcd66479ea8c2fe1
    SHA-256: 1cdd794586bc9aaa9190c22e7717f70a074c875245e7f736e746983156fdab02
    Size: 39.54 kB
  12. nss-tools-3.15.3-6.0.1.AXS4.x86_64.rpm
    MD5: daa871e3f6d22b90602065c278dffd32
    SHA-256: 0c627559096c3da07c22f530776b0b52f32eee6d96b959a922e82fbd39f0795c
    Size: 358.41 kB
  13. nss-3.15.3-6.0.1.AXS4.i686.rpm
    MD5: 40160221ae298aa8589fe6a732a34fb5
    SHA-256: 761bafdb96624d0c205412a462bc9b7d40fc24de71f59a16b8b67f0c74fbef37
    Size: 825.67 kB
  14. nss-devel-3.15.3-6.0.1.AXS4.i686.rpm
    MD5: fb8eacfeadc6b43de9872bd8ba035428
    SHA-256: e2b73e4a11ff8b0f772059a964b4e5db5b53e9564b5bc6bc9fe260c02731fddc
    Size: 190.33 kB