偵測

Oracle Linux 6 : nspr / nss / nss-util (ELSA-2012-0973)

high Nessus Plugin ID 68563

語系:

概要

遠端 Oracle Linux 主機缺少一個或多個安全性更新。

說明

來自 Red Hat 安全性公告 2012:0973:

現已提供適用於 Red Hat Enterprise Linux 6 的更新版 nss、 nss-util 與 nspr 套件,可修正一個安全性問題、數個錯誤,並新增多個增強功能。

Red Hat 安全性回應團隊已將此更新評等為具有中等安全性影響。

Network Security Services (NSS) 是一組程式庫,專用於支援啟用安全性之用戶端及伺服器應用程式的跨平台開發。Netscape Portable Runtime (NSPR) 為非圖形使用者介面 (GUI) 作業系統機能提供平台獨立性。

據發現,憑證授權單位 (CA) 發出了一個附屬 CA 憑證給其客戶,可用於針對任何名稱發出憑證。此更新將附屬 CA 憑證解譯為不受信任。(BZ#798533)

注意:此修正僅適用於使用 NSS Builtin Object Token 的應用程式。不會針對使用 NSS 程式庫的應用程式將憑證轉譯為不受信任,但是不使用 NSS Builtin Object Token。

* nspr 套件已經升級至上游版本 4.9,相較於先前的版本,此版本提供數個錯誤修正與增強功能。(BZ#799193)

nss-util 套件已經升級為 3.13.3 上游版,相較於先前的版本,此版本可提供幾個問題修正與增強功能。(BZ#799192)

* nss 套件已升級至上游版本 3.13.3,相較於先前的版本,此版本提供數個錯誤修正與增強功能。具體而言,SSL 2.0 現已預設停用,已新增 SHA-224 的支援,PORT_ErrorToString 與 PORT_ErrorToName 現在會傳回 NSS 錯誤代碼的錯誤訊息與符號名稱,且 NSS_GetVersion 現在會傳回 NSS 版本字串。(BZ#744070)

這些更新版 nss、nss-util 與 nspr 套件也提供下列錯誤的修正:

* 當偵測到不存在的名稱時,PEM 模組內部函式並未清理記憶體。因此,在用戶端程式碼中會發生記憶體洩漏問題。程式碼已經過改善,可取消配置此類暫時物件,因此不會再出現報告的記憶體洩漏問題。
(BZ#746632)

* 對於 NSS 的最近變更重新引發了一個問題,即應用程式無法在相同的處理程序中使用多個 SSL 用戶端憑證。
因此,對於執行解決多個 SSL 用戶端憑證問題之命令 (例如 'yum repolist' 命令) 進行的任何嘗試,均導致重新交涉交握失敗。在此更新之下,已對 NSS 套用更正此問題的修訂版修補程式,且現在再次可以在相同的處理程序中使用多個 SSL 用戶端憑證。
(BZ#761086)

* PEM 模組並未在將函式指標設定為 NULL 的情況下完全初始化新建構的物件。因此,當存取套件存放庫時,libcurl 中有時會發生分割違規情況。在此更新之下,程式碼已變更為完全初始化新配置的物件。因此,現在可以安裝更新,而不會發生任何問題。(BZ#768669)

* 由於 mod_nss 模組在根據記錄的 API 初始化 nss 之前呼叫了 nss,缺乏穩健性瑕疵導致 Red Hat Directory Server 的管理伺服器意外終止。在此更新之下,nss 可保護自己不在被呼叫程式正確初始化之前遭到呼叫。(BZ#784674)

* 某些編譯器針對 NSS 3.13.1 編譯程式碼時發生編譯錯誤。顯示下列錯誤訊息:

pkcs11n.h:365:26:警告:未定義「__GNUC_MINOR」

套用上游修補程式後,程式碼得到改善,此問題不會再發生。(BZ#795693)

* 據報告,最近對 nss 更新之後,Red Hat Enterprise MRG 中包含的訊息程序 (qpidd) 發生意外終止。這是因為 qpidd 在初始化 nss 之前進行了 nss 呼叫所造成的。這些更新版套件可防止 qpidd 與其他受影響的處理程序 (在未依 API 命令進行初始化的情況下呼叫 nss) 當機。(BZ#797426)

建議 NSS、NSPR 與 nss-util 使用者升級至這些更新版套件,其可修正這些問題並新增這些增強功能。
安裝此更新之後,使用 NSS、NSPR 或 nss-util 的應用程式必須重新啟動,此更新才會生效。

解決方案

更新受影響的 nspr、nss 和/或 nss-util 套件。

另請參閱

https://oss.oracle.com/pipermail/el-errata/2012-July/002914.html

Plugin 詳細資訊

嚴重性: High

ID: 68563

檔案名稱: oraclelinux_ELSA-2012-0973.nasl

版本: 1.7

類型: local

代理程式: unix

已發布: 2013/7/12

已更新: 2021/1/14

支援的感應器: Frictionless Assessment Agent, Nessus Agent, Nessus

弱點資訊

CPE: p-cpe:/a:oracle:linux:nspr, p-cpe:/a:oracle:linux:nspr-devel, p-cpe:/a:oracle:linux:nss, p-cpe:/a:oracle:linux:nss-devel, p-cpe:/a:oracle:linux:nss-pkcs11-devel, p-cpe:/a:oracle:linux:nss-sysinit, p-cpe:/a:oracle:linux:nss-tools, p-cpe:/a:oracle:linux:nss-util, p-cpe:/a:oracle:linux:nss-util-devel, cpe:/o:oracle:linux:6

必要的 KB 項目: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/OracleLinux

修補程式發佈日期: 2012/7/2

弱點發布日期: 2012/7/2

參考資訊

RHSA: 2012:0973