Oracle Linux 6nss、/ nss-util、/ nss-softokn、/ 和 / nspr (ELSA-2013-1144)
high Nessus Plugin ID 69253
語言:
概要
遠端 Oracle Linux 主機缺少一個或多個安全性更新。說明
遠端 Oracle Linux 6 主機中安裝的套件受到 ELSA-2013-1144 公告中提及的多個弱點影響。nspr [4.9.5-2]
- NSPR_4_9_5_RTM 的更新
- 解決:rhbz#927186 - 重定基底至 nspr-4.9.5
- 根據封裝準則新增現有修補程式的上游 URL
[4.9.5-1]
- 解決 重定基底為 nspr-4.9.5
[4.9.2-1]
- nspr-4.9.2 的更新
- 相關項目:rhbz#863286
nss [3.14.3-4.0.1.el6_4]
- 已新增 nss-vendor.修補程式以變更供應商
[3.14.3-4]
- 還原為預設接受數位簽章上的 MD5
- 解決 rhbz#957603 - nss 3.14 - 停用 MD5 雜湊演算法
[3.14.3-3]
- 確保 pem 使用系統 freebl因為此更新已納入新 API 的 freebl
- 解決 rhbz#927157 - [RFE][RHEL6] 重定基底為 nss-3.14.3以修正 authentic-13 問題
[3.14.3-2]
- 安裝 sechash.h 和 secmodt.h其現在由 nss-devel 提供
- 解決 rhbz#927157 - [RFE][RHEL6] 重定基底為 nss-3.14.3以修正 authentic-13 問題
- 從會移除 nss-util 和 nss-softoken 已隨附之標頭的命令中移除不安全的 -r 選項
[3.14.3-1]
- NSS_3.14.3_RTM 的更新
- 解決 rhbz#927157 - [RFE][RHEL6] 重定基底為 nss-3.14.3以修正 authentic-13 問題
- 更新過期的測試憑證 (上游錯誤 852781 中的修正)
- 將 pem 模組的 rsawrapr.c 與 nss-3.14.3 的 softoken 上游變更同步
- 重新啟動 aia 測試
nss-softokn [3.14.3-3]
- 新增修補程式以根據舊版或新 sqlite api 有條件地進行編譯
- new 在 rhel-6 上使用而 rhel-5 在舊版上但是我們需要對兩者使用相同的程式碼
- 解決 rhbz#927158 - 重定基底至 nss-softokn 3.14.3 以修正 authentic-13 問題
[3.14.3-2]
- 還原為使用 relro 支援的程式碼修補程式
- 相關項目:rhbz#927158
[3.14.3-1]
- NSS_3_14_3_RTM 的更新
- 解決 rhbz#927158 - 重定基底至 nss-softokn 3.14.3 以修正 authentic-13 問題
- 在 __spec_install_post scriplet 中籤署命令前新增匯出 LD_LIBRARY_PATH=//usr/lib確保簽署工具與樹狀結構中的 freebl 連結因此驗證時會使用與簽署時相同的演算法
- 新增 %check 區段以根據封裝準則執行上游 crypto reqression 測試套件
- 不安裝 sechash.h 或 secmodt.h其依據 3.14 由 nss-devel 提供
- 將授權更新至 MPLv2.0
[3.12.9-12]
- 為重定基底而準備的 buildroot 啟動程序 至 3.14.3
- 從 %files devel 清單中移除 hasht.h避免與 nss-util 發生更新衝突
- 透過 3.14.3 hasht.h 將由 nss-util-devel 提供
- 相關 rhbz#927158 - 將 nss-softokn 重定基底至 3.14.3
nss-util [3.14.3-3]
- 解決:rhbz#984967 - nssutil_ReadSecmodDB 洩漏記憶體
[3.14.3-2]
- 還原為預設接受數位簽章上的 MD5
- 解決 rhbz#957603 - nss 3.14 - 停用 MD5 雜湊演算法
[3.14.3-1]
- NSS_3_14_3_RTM 的更新
- 解決 rhbz#927171 - 重定基底為 3.14.3 做為lucky-13 問題修正的一部分
Tenable 已直接從 Oracle Linux 安全公告擷取前置描述區塊。
請注意,Nessus 並未測試這些問題,而是僅依據應用程式自我報告的版本號碼作出判斷。
解決方案
更新受影響的套件。另請參閱
Plugin 詳細資訊
嚴重性: High
ID: 69253
檔案名稱: oraclelinux_ELSA-2013-1144.nasl
版本: 1.10
類型: local
代理程式: unix
已發布: 2013/8/8
已更新: 2025/4/29
支援的感應器: Frictionless Assessment Agent, Nessus Agent, Continuous Assessment, Nessus
風險資訊
VPR
風險因素: Low
分數: 3.4
CVSS v2
風險因素: Medium
基本分數: 4.3
時間性分數: 3.2
媒介: CVSS2#AV:N/AC:M/Au:N/C:P/I:N/A:N
CVSS 評分資料來源: CVE-2013-1620
CVSS v3
風險因素: High
基本分數: 7.5
時間性分數: 6.5
媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
時間媒介: CVSS:3.0/E:U/RL:O/RC:C
弱點資訊
CPE: p-cpe:/a:oracle:linux:nss-softokn-freebl-devel, p-cpe:/a:oracle:linux:nss-util, p-cpe:/a:oracle:linux:nss-softokn-freebl, p-cpe:/a:oracle:linux:nss-softokn, p-cpe:/a:oracle:linux:nss-pkcs11-devel, p-cpe:/a:oracle:linux:nspr, cpe:/o:oracle:linux:6, p-cpe:/a:oracle:linux:nspr-devel, p-cpe:/a:oracle:linux:nss-softokn-devel, p-cpe:/a:oracle:linux:nss-sysinit, p-cpe:/a:oracle:linux:nss-devel, p-cpe:/a:oracle:linux:nss-util-devel, p-cpe:/a:oracle:linux:nss-tools, p-cpe:/a:oracle:linux:nss
必要的 KB 項目: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/OracleLinux
可輕鬆利用: No known exploits are available
修補程式發佈日期: 2013/8/7
弱點發布日期: 2013/2/8
參考資訊
CVE: CVE-2013-0791, CVE-2013-1620
RHSA: 2013:1144