[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[debian-users:54769] [Translate] [SECURITY] [DSA-2141-2] New nss packages fix protocol design flaw

From: skaneko@xxxxxxxxxxxx
Subject: [debian-users:54769] [Translate] [SECURITY] [DSA-2141-2] New nss packages fix protocol design flaw
Date: Thu, 6 Jan 2011 23:32:45 +0900
List-help: <mailto:debian-users-ctl@debian.or.jp?body=help>
List-id: debian-users.debian.or.jp
List-owner: <mailto:debian-users-admin@debian.or.jp>
List-post: <mailto:debian-users@debian.or.jp>
List-software: fml [fml 4.0.3 release (20011202/4.0.3)]
List-unsubscribe: <mailto:debian-users-ctl@debian.or.jp?body=unsubscribe>
X-ml-info: If you have a question, send e-mail with the body "help" (without quotes) to the address debian-users-ctl@debian.or.jp; help=<mailto:debian-users-ctl@debian.or.jp?body=help>
X-ml-name: debian-users
X-mlserver: fml [fml 4.0.3 release (20011202/4.0.3)]; post only (only members can post)
X-spam-checker-version: SpamAssassin 3.2.5 (2008-06-10) on osdn.debian.or.jp
X-spam-level:
X-spam-status: No, score=-2.4 required=10.0 tests=KI autolearn=disabled version=3.2.5
Message-id: <20110106143239.D0DC9290F@xxxxxxxxxxxxxxxxxx>
X-mail-count: 54769

かねこです。
URL 等は Debian-security-announce メーリングリストの元記事を
確認
ください。
------>8------------>8------------>8------------>8----------
-->8-

- ----------------------------------------------------------
--------------
Debian Security Advisory DSA-2141-2                  securit
y@debian.org
http://www.debian.org/security/                           St
efan Fritsch
January 06, 2011                      http://www.debian.org/
security/faq
- ----------------------------------------------------------
--------------

Package        : nss
Vulnerability  : SSL/TLS の、安全でない再ネゴシエーション関
係設計ミス
Problem type   : リモート
Debian-specific: いいえ
CVE ID         : CVE-2009-3555

CVE-2009-3555:

Marsh Ray, Steve Dispensa, および Martin Rex の各氏により TL
S
および SSLv3 プロトコルに欠陥が発見されました。攻撃者が TLS
コネクションの開始時に中間者攻撃を行える状況下で、攻撃者がユ
ーザのセッションの冒頭に任意のコンテンツを注入可能です。この
更新は、この問題に対処した新しい RFC5746 再ネゴシエーション
機
能拡張をバックポートしてサポートするものです。

このライブラリの更新後は、安全でない接続を引き続き許すかどう
かをシェル環境変数で設定できます。これら変数の書式に関する情
報は nss のバージョン 3.12.6 のリリースノートに記載されてい
ます。
 
https://developer.mozilla.org/NSS_3.12.6_release_notes

但し、Debian 5.0 (Lenny) での既定の挙動は
NSS_SSL_ENABLE_RENEGOTIATION=3 であり、クライアントは安全で
ない
サーバと引き続き接続可能です。

安定版 (stable) ディストリビューション (lenny) では、この問
題は
バージョン 3.12.3.1-0lenny3 で修正されています。

テスト版 (testing) および不安定版 (unstable) ディストリビュ
ーシ
ョン (squeeze および sid) では、これらの問題はバージョン
 3.12.6-1 で修正されています。

直ぐに nss パッケージをアップグレードすることを勧めます。

Debian Security Advisories に関する説明、これらの更新をシス
テム
に適用する方法、FAQ などは http://www.debian.org/security/ 
を参
照ください。

Mailing list: debian-security-announce@lists.debian.org
------>8------------>8------------>8------------>8----------
-->8-
--
Seiji Kaneko

Prev by Date: [debian-users:54768] [Translate] [SECURITY] [DSA-2141-1] New openssl packages fix protocol design flaw
Next by Date: [debian-users:54770] toiu
Previous by thread: [debian-users:54768] [Translate] [SECURITY] [DSA-2141-1] New openssl packages fix protocol design flaw
Next by thread: [debian-users:54770] toiu
Index(es):
- Date
- Thread