Ubuntu 8.04 LTS / 8.10 / 9.04:nss 回归 (USN-810-3)
high Nessus 插件 ID 65117
语言:
简介
远程 Ubuntu 主机缺少与安全相关的修补程序。描述
USN-810-1 修复了 NSS 中的若干漏洞。Jozsef Kadlecsik 注意到,amd64 上的新库未正确设置堆栈内存标记,导致使用 NSS 的应用程序(例如 Firefox)具有可执行的堆栈。这样降低了某些防御性安全保护的效果。此更新修复了该问题。我们对不便之处表示抱歉。
Moxie Marlinspike 发现,NSS 未正确处理证书名称中的正则表达式。远程攻击者可创建特别构建的证书,来造成拒绝服务(通过应用程序崩溃)或以调用程序的用户身份执行任意代码。(CVE-2009-2404)
Moxie Marlinspike 和 Dan Kaminsky 各自独立发现,NSS 未正确处理证书名称中包含空字符的证书。攻击者可利用此问题执行中间人攻击以查看敏感信息或修改加密通信。
(CVE-2009-2408)
Dan Kaminsky 发现,NSS 仍会接受包含 MD2 哈希签名的证书。因此,攻击者可能创建恶意的可信证书来冒充其他站点。(CVE-2009-2409)。
解决方案
更新受影响的 libnss3-1d 程序包。另见
插件详情
严重性: High
ID: 65117
文件名: ubuntu_USN-810-3.nasl
版本: 1.8
类型: local
代理: unix
发布时间: 2013/3/9
最近更新时间: 2021/1/19
支持的传感器: Agentless Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Nessus
风险信息
VPR
风险因素: Medium
分数: 5.9
CVSS v2
风险因素: High
基本分数: 9.3
矢量: CVSS2#AV:N/AC:M/Au:N/C:C/I:C/A:C
漏洞信息
CPE: p-cpe:/a:canonical:ubuntu_linux:libnss3-1d, cpe:/o:canonical:ubuntu_linux:8.04:-:lts, cpe:/o:canonical:ubuntu_linux:8.10, cpe:/o:canonical:ubuntu_linux:9.04
必需的 KB 项: Host/cpu, Host/Ubuntu, Host/Ubuntu/release, Host/Debian/dpkg-l
补丁发布日期: 2009/9/1