2011年1月 6日

[debian-users:54769] [Translate] [SECURITY] [DSA-2141-2] New nss packages fix protocoldesign flaw


かねこです。
URL 等は Debian-security-announce メーリングリストの元記事を
確認
ください。
------>8------------>8------------>8------------>8----------
-->8-

- ----------------------------------------------------------
--------------
Debian Security Advisory DSA-2141-2 securit
y@xxxxx
http://www.debian.org/security/ St
efan Fritsch
January 06, 2011 http://www.debian.org/
security/faq
- ----------------------------------------------------------
--------------

Package : nss
Vulnerability : SSL/TLS の、安全でない再ネゴシエーション関
係設計ミス
Problem type : リモート
Debian-specific: いいえ
CVE ID : CVE-2009-3555

CVE-2009-3555:

Marsh Ray, Steve Dispensa, および Martin Rex の各氏により TL
S
および SSLv3 プロトコルに欠陥が発見されました。攻撃者が TLS
コネクションの開始時に中間者攻撃を行える状況下で、攻撃者がユ
ーザのセッションの冒頭に任意のコンテンツを注入可能です。この
更新は、この問題に対処した新しい RFC5746 再ネゴシエーション

能拡張をバックポートしてサポートするものです。

このライブラリの更新後は、安全でない接続を引き続き許すかどう
かをシェル環境変数で設定できます。これら変数の書式に関する情
報は nss のバージョン 3.12.6 のリリースノートに記載されてい
ます。

https://developer.mozilla.org/NSS_3.12.6_release_notes

但し、Debian 5.0 (Lenny) での既定の挙動は
NSS_SSL_ENABLE_RENEGOTIATION=3 であり、クライアントは安全で
ない
サーバと引き続き接続可能です。

安定版 (stable) ディストリビューション (lenny) では、この問
題は
バージョン 3.12.3.1-0lenny3 で修正されています。

テスト版 (testing) および不安定版 (unstable) ディストリビュ
ーシ
ョン (squeeze および sid) では、これらの問題はバージョン
3.12.6-1 で修正されています。

直ぐに nss パッケージをアップグレードすることを勧めます。

Debian Security Advisories に関する説明、これらの更新をシス
テム
に適用する方法、FAQ などは http://www.debian.org/security/
を参
照ください。

Mailing list: debian-security-announce@xxxxx
------>8------------>8------------>8------------>8----------
-->8-
--
Seiji Kaneko

投稿者 xml-rpc : 2011年1月 6日 23:32
役に立ちました?:
過去のフィードバック 平均:(0) 総合:(0) 投票回数:(0)
本記事へのTrackback: http://hoop.euqset.org/blog/mt-tb2006.cgi/101189
トラックバック
コメント
コメントする




画像の中に見える文字を入力してください。