FreeBSD：nss/ca_root_nss -- DigiNotar.nl 颁发的伪造证书 (aa5bc971-d635-11e0-b3cf-080027ef73ec)

high Nessus 插件 ID 56081

语言：

简介

远程 FreeBSD 主机缺少一个或多个与安全有关的更新。

描述

Google 的信息安全管理员 Heather Adkins 报告指出 Google 收到

[...] 尝试向 Google 用户发动 SSL 中间人 (MITM) 攻击的报告，其中有人尝试介入用户与加密的 Google 服务之间。受影响的用户主要位于伊朗。攻击者使用 DigiNotar 颁发的伪造 SSL 证书；其为不应颁发 Google 证书的根证书颁发机构 (因此予以撤消)。[...]

DigiNotar 的拥有者 VASCO Data Security International Inc. 已发布新闻稿声明，确认此事件：

DigiNotar 于 2011 年 7 月 19 日检测到其证书颁发机构 (CA) 基础设施遭到入侵，其导致颁发适用于数个网域的伪造公钥证书请求，包括 Google.com。[...] 外部安全审核员总结，所有颁发的伪造证书都已撤消。
近来发现至少有一个伪造证书目前仍未遭到撤消。[...]

NSS 程序包 (使 FreeBSD 派生 ca_root_nss) 的维护者 Mozilla 声明：

从所有 Mozilla 软件撤消我们对 DigiNotar 证书颁发机构的信任。这不是暂时性撤消，我们将从受信任的根程序中完全予以删除。完全撤消信任是我们经过深思熟虑后的决定，也是最后不得不采取的作法。

以下是促使我们作此决定的三个主要问题：

- 无法通知。[...]

- 违反范围目前仍未知。[...]

- 攻击不可推测。

解决方案

更新受影响的程序包。

另见

http://www.nessus.org/u?baa49230

https://www.mozilla.org/en-US/security/advisories/mfsa2011-34/

http://www.nessus.org/u?5ec99806

http://www.nessus.org/u?6fd84a11

插件详情

严重性: High

ID: 56081

文件名: freebsd_pkg_aa5bc971d63511e0b3cf080027ef73ec.nasl

版本: 1.17

类型: local

系列: FreeBSD Local Security Checks

发布时间: 2011/9/6

最近更新时间: 2021/1/6

支持的传感器: Nessus

漏洞信息

CPE: p-cpe:/a:freebsd:freebsd:ca_root_nss, p-cpe:/a:freebsd:freebsd:firefox, p-cpe:/a:freebsd:freebsd:linux-firefox, p-cpe:/a:freebsd:freebsd:linux-seamonkey, p-cpe:/a:freebsd:freebsd:linux-thunderbird, p-cpe:/a:freebsd:freebsd:nss, p-cpe:/a:freebsd:freebsd:seamonkey, p-cpe:/a:freebsd:freebsd:thunderbird, cpe:/o:freebsd:freebsd

必需的 KB 项: Host/local_checks_enabled, Host/FreeBSD/release, Host/FreeBSD/pkg_info

补丁发布日期: 2011/9/3

漏洞发布日期: 2011/7/19