nspr-4.10.2-2.AXS3, nss-3.15.3-4.AXS3

エラータID: AXSA:2014-237:01

リリース日: 
2014/04/10 Thursday - 13:38
題名: 
nspr-4.10.2-2.AXS3, nss-3.15.3-4.AXS3
影響のあるチャネル: 
Asianux Server 3 for x86
Asianux Server 3 for x86_64
Severity: 
High
Description: 

以下項目について対処しました。

[Security Fix]
- NSS は読み込み操作の前にデータ構造を初期化するのを確かめておらず,復号化の失敗によって,リモートの攻撃者がサービス拒否を引き起こす,あるいは詳細不明な他の影響を引き起こす可能性のある脆弱性があります。(CVE-2013-1739)

- NSS には整数オーバーフローが存在し,大きなサイズ値によって,リモートの攻撃者がサービス拒否を引き起こす,あるいは詳細不明な他の影響を引き起こす可能性のある脆弱性があります。(CVE-2013-1741)

- NSS には、不正なハンドシェイクパケットによって,リモートの攻撃者がサービス拒否を引き起こす,あるいは詳細不明な他の影響を引き起こす可能性のある脆弱性があります。(CVE-2013-5605)

- CERTVerifyLog 引数が有効な場合,NSS の lib/certhigh/certvfy.c の CERT_VerifyCert 関数は互換性のないキーを使用する証明書に対する予期できない返り値を提供し,巧妙に細工された証明書によって,リモートの攻撃者がアクセス制限を迂回する脆弱性があります。 (CVE-2013-5606)

- NSPR の PL_ArenaAllocate 関数には整数オーバーフローが存在し,巧妙に細工された X.509 証明書によって,リモートの攻撃者がサービス拒否 (アプリケーションのクラッシュ) を引き起こす,あるいは詳細不明な他の影響を引き起こす可能性のある脆弱性があります。
この脆弱性は CVE-2013-1741 に関連する問題です。(CVE-2013-5607)

一部CVEの翻訳文はJVNからの引用になります。
http://jvndb.jvn.jp/

解決策: 

パッケージをアップデートしてください。

CVE: 
CVE-2013-1739
Mozilla Network Security Services (NSS) before 3.15.2 does not ensure that data structures are initialized before read operations, which allows remote attackers to cause a denial of service or possibly have unspecified other impact via vectors that trigger a decryption failure.
CVE-2013-1741
Integer overflow in Mozilla Network Security Services (NSS) 3.15 before 3.15.3 allows remote attackers to cause a denial of service or possibly have unspecified other impact via a large size value.
CVE-2013-5605
Mozilla Network Security Services (NSS) 3.14 before 3.14.5 and 3.15 before 3.15.3 allows remote attackers to cause a denial of service or possibly have unspecified other impact via invalid handshake packets.
CVE-2013-5606
The CERT_VerifyCert function in lib/certhigh/certvfy.c in Mozilla Network Security Services (NSS) 3.15 before 3.15.3 provides an unexpected return value for an incompatible key-usage certificate when the CERTVerifyLog argument is valid, which might allow remote attackers to bypass intended access restrictions via a crafted certificate.
CVE-2013-5607
Integer overflow in the PL_ArenaAllocate function in Mozilla Netscape Portable Runtime (NSPR) before 4.10.2, as used in Firefox before 25.0.1, Firefox ESR 17.x before 17.0.11 and 24.x before 24.1.1, and SeaMonkey before 2.22.1, allows remote attackers to cause a denial of service (application crash) or possibly have unspecified other impact via a crafted X.509 certificate, a related issue to CVE-2013-1741.
追加情報: 

N/A

ダウンロード: 

Asianux Server 3 for x86_64
  1. nss-3.15.3-4.AXS3.x86_64.rpm
    MD5: 75f322e0a20343d176fa8904a3132d41
    SHA-256: d1bc0e9027113ec8f19e2ef96c851afc68425ba8b652da2d1342ac98f74a1de3
    Size: 1.25 MB
  2. nss-devel-3.15.3-4.AXS3.x86_64.rpm
    MD5: 72a18042c93cdc9018408b09d46ecd39
    SHA-256: 1ba59f17bef9a3dffc23202839f9f02d198ae5a4cb2c7054448d1995c617c79a
    Size: 248.82 kB
  3. nss-tools-3.15.3-4.AXS3.x86_64.rpm
    MD5: bee847189438d0444573c8f45bd7d003
    SHA-256: 2839f05f1b0b011459d344687a6a05cd6c3deef1f4f99d96b730a2caff20d4aa
    Size: 753.48 kB