• Все разделы
  • Статьи
  • Медиа
  • Новости
  • Нормативные материалы
  • Конференции
  • Глоссарий

Бюллетень безопасности RHSA-2013:1135-00

Главная Специалистам База уязвимостей Бюллетень безопасности RHSA-2013:1135-00

Карточка уязвимости

Характеристики уязвимости

Уровень опасности
Оценка CVSS
(AV:N/AC:L/Au:N/C:N/I:N/A:P)
Производитель ПО
Наименование ПО
nspr (any) nspr-devel (any) nss (any) nss-devel (any) nss-pkcs11-devel (any) nss-tools (any)
Описание
Network Security Services (NSS) - набор библиотек, разработанных для поддержки кросс-платформенной разработки безопасных серверных и клиентских приложений. Netscape Portable Runtime (NSPR) позволяет ОС без графического пользовательского интерфейса (non-GUI) получить независимость от платформы.

В NSS произошла утечка данных о времени, затрачиваемом на расшифровку в режиме CBC записей, зашифрованных по протоколам TLS/SSL и DTLS. Эксплуатация данной уязвимости позволяет злоумышленнику, действующему удаленно, получить доступ к открытому тексту зашифрованных пакетов, используя TLS/SSL или DTLS сервер для атаки с оракулом на заполнение (padding oracle). (CVE-2013-1620)

Чтение за пределами границ существует в NSS и связано с расшифровкой некоторых сертификатов. Расшифровка некорректно сформированного сертификата приложением, использующим NSS, может привести к отказу в обслуживании данного приложения. - -

Данное обновление также устраняет следующие уязвимости:

* Ошибка в реализации библиотеки FreeBL протокола Diffie-Hellman (DH) ранее приводила к разрыву соединения через Openswan. (BZ#958023)

* Утечка памяти в функции nssutil_ReadSecmodDB() была устранена.
(BZ#986969)

Пакет nss был обновлен до версии 3.14.3;
пакет nspr был обновлен до версии 4.9.5. Данные обновления позволяют устранить ряд уязвимостей и содержат доработки предыдущих версий. (BZ#949845, BZ#924741)

Исходная версия NSS не допускает использование сертификатов, подписанных ключом MD5. Существует обновление, позволяющее использовать данные сертификаты по умолчанию.  Чтобы предотвратить использование сертификатов, подписанных ключом MD5, необходимо установить значение "NSS_HASH_ALG_SUPPORT" переменной среды на "-MD5".

Пользователям NSS и NSPR рекомендуется обновить систему, используя данные пакеты обновлений, для устранения вышеупомянутых уязвимостей и внесения доработок. Чтобы исправления вступили в силу, необходимо перезапустить приложения, использующие NSS или NSPR, после установки обновлений.
Как исправить
Используйте рекомендации производителя, доступные по ссылке https://access.redhat.com/knowledge/articles/11258
Ссылки
https://rhn.redhat.com/errata/RHSA-2013-1135.html

Источник: CVE
Наименование: CVE-2013-0791
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-0791

Источник: CVE
Наименование: CVE-2013-1620
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-1620