【重要】nssの脆弱性(CVE-2021-43527)について

CentOS

このページは、2021年12月14日に作成したページです。
このページに掲載している仕様・機能・操作手順は、現在リリースされているバージョンと異なる場合がございます。

この脆弱性は、次のお客様が対象です。

  • 当社専用サーバーサービスご利用中のお客様
  • 専用サーバー、VPSサーバー、クラウド型サーバご利用中のお客様

当社の共用サーバーサービスをご利用中の方は、対策済です。

共用サーバーなど、root権限の無いサーバーをご利用中の方は、ご利用中のサーバー会社の対応をお調べください。

 

 

NSS における証明書の署名処理の際に、データ長が正しく検証されていない問題があり、バッファオーバーフローが引き起こされる恐れがございます。

攻撃者はこの問題を悪用することによって、ネットワークを介して任意のコード実行が可能となります。

 

設定変更による本脆弱性の回避方法はございません。

脆弱性の詳細につきましては、以下の情報を確認してください。

 

https://access.redhat.com/security/cve/CVE-2021-43527

https://access.redhat.com/ja/security/vulnerabilities/6553491

https://lists.centos.org/pipermail/centos-announce/2021-December/060972.html

https://errata.almalinux.org/8/ALSA-2021-4903.html

 

 

影響を受けるOSバージョン

  • RHEL 6
  • CentOS 6
  • CentOS 7
  • AlmaLinux 8

 

 

RHEL及びCentOSへの影響

本脆弱性はNSS 対応のサーバー (Red Hat Identity Management、Red Hat Directory Server など) と NSS 暗号ライブラリーを使用するクライアントアプリケーション (RHEL(CentOS) 6 および 7 の curl コマンドラインツールなど) の両方に影響します。

 

主に以下のような場合で影響を受けます。

 

  • 信頼できるクライアントが SSL/TLS を介して信頼できないサーバーに接続する場合
  • 信頼できないクライアントが信頼できるサーバーへのクライアント証明書を介して認証する場合
  • 中間攻撃者が信頼できるクライアント/サーバー接続の間にいる場合

NSS証明書検証を使用するアプリケーションはすべて影響を受けます。信頼できるクライアント、サーバー間での接続が保障されている環境においては本脆弱性の影響はございません。

 

 

提供される対策バージョン

 

CentOS 7
  • nss-3.67.0-4.el7_9.i686.rpm
  • nss-3.67.0-4.el7_9.x86_64.rpm
  • nss-devel-3.67.0-4.el7_9.i686.rpm
  • nss-devel-3.67.0-4.el7_9.x86_64.rpm
  • nss-pkcs11-devel-3.67.0-4.el7_9.i686.rpm
  • nss-pkcs11-devel-3.67.0-4.el7_9.x86_64.rpm
  • nss-sysinit-3.67.0-4.el7_9.x86_64.rpm
  • nss-tools-3.67.0-4.el7_9.x86_64.rpm

 

AlmaLinux 8
  • nss-3.67.0-7.el8_5.i686.rpm
  • nss-3.67.0-7.el8_5.x86_64.rpm
  • nss-devel-3.67.0-7.el8_5.i686.rpm
  • nss-devel-3.67.0-7.el8_5.x86_64.rpm
  • nss-softokn-3.67.0-7.el8_5.i686.rpm
  • nss-softokn-3.67.0-7.el8_5.x86_64.rpm
  • nss-softokn-devel-3.67.0-7.el8_5.i686.rpm
  • nss-softokn-devel-3.67.0-7.el8_5.x86_64.rpm
  • nss-softokn-freebl-3.67.0-7.el8_5.i686.rpm
  • nss-softokn-freebl-3.67.0-7.el8_5.x86_64.rpm
  • nss-softokn-freebl-devel-3.67.0-7.el8_5.i686.rpm
  • nss-softokn-freebl-devel-3.67.0-7.el8_5.x86_64.rpm
  • nss-sysinit-3.67.0-7.el8_5.x86_64.rpm
  • nss-tools-3.67.0-7.el8_5.x86_64.rpm
  • nss-util-3.67.0-7.el8_5.i686.rpm
  • nss-util-3.67.0-7.el8_5.x86_64.rpm
  • nss-util-devel-3.67.0-7.el8_5.i686.rpm
  • nss-util-devel-3.67.0-7.el8_5.x86_64.rpm

 

 

対策作業について

サーバ保守契約をご利用のお客様または納品後3か月以内のお客様

CentOS 7以降、AlmaLinux 8ご利用の場合

パッケージ確認及びアップデートは当社で承ります。

 

 

CentOS 6 ご利用の場合

既にcentOS6は、サポート終了しておりますのでサポート中のCentOS7、CentOS8Stream、AlmaLinux 8等にアップデートご検討ください。

 

 

納品後3か月以上のお客様でサーバ保守契約をご利用されていないお客様

CentOS 7以降、AlmaLinux 8ご利用の場合

ご自身でご対応いただくか、当社まで依頼してください。但し当社にご依頼いただく場合は、別途有償となります。

 

 

CentOS 6 ご利用の場合

既にcentOS6は、サポート終了しておりますのでサポート中のCentOS7、CentOS8Stream、AlmaLinux 8等にアップデートご検討ください。