nss-3.16.1-2.AXS3

エラータID: AXSA:2014-538:03

リリース日: 
2014/09/22 Monday - 15:03
題名: 
nss-3.16.1-2.AXS3
影響のあるチャネル: 
Asianux Server 3 for x86
Asianux Server 3 for x86_64
Severity: 
Moderate
Description: 

以下項目について対処しました。

[Security Fix]
- nss の libssl の sslsecur.c の ssl_Do1stHandshake 関数には,TLS False Start 機能が有効な場合,特定のハンドシェークトラフィックの間,任意の X.509 証明書を使用することによって,中間者攻撃を行う攻撃者が SSL サーバになりすます脆弱性があります。(CVE-2013-1740)

- NSS の libssl には競合条件が存在し,セッションのチケットの不正な置換のきっかけとなる再開ハンドシェークによって、リモートの攻撃者がサービス拒否 (解放後使用) を引き起こしたり,詳細不明な他の影響を引き起こす可能性のある脆弱性があります。(CVE-2014-1490)

- nss は Diffie-Hellman 鍵交換で適切にパブリックな値を制限しておらず,特定の値を使用することによって,リモートの攻撃者がチケット処理における暗号保護メカニズムを迂回しやすくする脆弱性があります。(CVE-2014-1491)

- NSS の lib/certdb/certdb.c の cert_TestHostName 関数は,国際化されたドメイン名の U-label に埋め込まれたワイルドカードを許容し,巧妙に細工された証明書によって,中間者攻撃を行う攻撃者が SSL サーバになりすます脆弱性があります。
(CVE-2014-1492)

- NSPR には,sprintf と コンソール関数を含む要因によって,リモートの攻撃者が任意のコードを実行する,あるいはサービス拒否 (境界外への書き出し) を引き起こす脆弱性があります。(CVE-2014-1545)

[Bug Fix]
- output.log ファイルがシステム上に存在しない場合,NSS specification のシェルがテストの失敗を誤った成功としてみなし,grep などのユーティリティが失敗を適切に扱うことができない問題を修正しました。

- 下位認証局の ANSSI agency が誤ってネットワーク管理デバイス上にインストールされる中間証明書を発行しました。その結果,管理デバイスが,証明書の保持者が自分のものではない,あるいは管理していないドメイン名あるいは IP アドレスのトラフィックを管理する,中間者攻撃を行うプロキシとして振る舞う問題を修正しました。

- NSS が MD5 証明書を信頼していないため,MD5 証明書がデフォルトで却下されていた問題を修正しました。

一部CVEの翻訳文はJVNからの引用になります。
http://jvndb.jvn.jp/

解決策: 

パッケージをアップデートしてください。

追加情報: 

N/A

ダウンロード: 

SRPMS
  1. nss-3.16.1-2.AXS3.src.rpm
    MD5: c5cecfee41c77d70b16b9cc564be9291
    SHA-256: 2e061a17fe0e2839e7093ddd33e2d676912bb0239180801cab5eb5ab501a6526
    Size: 6.14 MB

Asianux Server 3 for x86
  1. nss-3.16.1-2.AXS3.i386.rpm
    MD5: 40e0163f8f505489815eafa276c8bc66
    SHA-256: d991ae3f4beaee3dc3cdd2afda0bd051e41373e8ce6d6159d0c9874d036b415a
    Size: 1.24 MB
  2. nss-devel-3.16.1-2.AXS3.i386.rpm
    MD5: cf165b21a711aa4e7b1b40b4ff90ce0e
    SHA-256: af7f7dc8dfdab2b022ac1c35d9e5882119a7891bf96d68d8f70d619eb7a57f7d
    Size: 248.93 kB
  3. nss-tools-3.16.1-2.AXS3.i386.rpm
    MD5: 2429f3c3099024f8b520ccf4390b8fe9
    SHA-256: 4ada29f2b42cd8460463f357458cbc2f0f8a8e1e5b083b35aa33d8f654f88f1a
    Size: 751.49 kB

Asianux Server 3 for x86_64
  1. nss-3.16.1-2.AXS3.x86_64.rpm
    MD5: d41dbc166efe076cd05203b25f5a9b6d
    SHA-256: fd0529f4ce34422e2ac92aed5efb870007a4c1b39dfbda1eac84d05cda1c9c9c
    Size: 1.26 MB
  2. nss-devel-3.16.1-2.AXS3.x86_64.rpm
    MD5: 0412f6ea64a71916ffdc721bd359242f
    SHA-256: 1ce4ea6071fb4676932ce7d6d060164ddfece4bb562f3647ca41abb4dfac49b8
    Size: 248.96 kB
  3. nss-tools-3.16.1-2.AXS3.x86_64.rpm
    MD5: 493118a9a4822a9758ead505f7d916e5
    SHA-256: 01e1ece4b616681c888d24fb4d31b2c90ffd0e6b6f0875e6dde0da39e1739814
    Size: 757.99 kB