Oracle Linux 6nss、/ nss-util、/ nss-softokn、/ 和 / nspr (ELSA-2013-1144)

high Nessus Plugin ID 69253

概要

遠端 Oracle Linux 主機缺少一個或多個安全性更新。

說明

遠端 Oracle Linux 6 主機中安裝的套件受到 ELSA-2013-1144 公告中提及的多個弱點影響。

nspr [4.9.5-2]
- NSPR_4_9_5_RTM 的更新
- 解決:rhbz#927186 - 重定基底至 nspr-4.9.5
- 根據封裝準則新增現有修補程式的上游 URL

[4.9.5-1]
- 解決 重定基底為 nspr-4.9.5

[4.9.2-1]
- nspr-4.9.2 的更新
- 相關項目:rhbz#863286

nss [3.14.3-4.0.1.el6_4]
- 已新增 nss-vendor.修補程式以變更供應商

[3.14.3-4]
- 還原為預設接受數位簽章上的 MD5
- 解決 rhbz#957603 - nss 3.14 - 停用 MD5 雜湊演算法

[3.14.3-3]
- 確保 pem 使用系統 freebl因為此更新已納入新 API 的 freebl
- 解決 rhbz#927157 - [RFE][RHEL6] 重定基底為 nss-3.14.3以修正 authentic-13 問題

[3.14.3-2]
- 安裝 sechash.h 和 secmodt.h其現在由 nss-devel 提供
- 解決 rhbz#927157 - [RFE][RHEL6] 重定基底為 nss-3.14.3以修正 authentic-13 問題
- 從會移除 nss-util 和 nss-softoken 已隨附之標頭的命令中移除不安全的 -r 選項

[3.14.3-1]
- NSS_3.14.3_RTM 的更新
- 解決 rhbz#927157 - [RFE][RHEL6] 重定基底為 nss-3.14.3以修正 authentic-13 問題
- 更新過期的測試憑證 (上游錯誤 852781 中的修正)
- 將 pem 模組的 rsawrapr.c 與 nss-3.14.3 的 softoken 上游變更同步
- 重新啟動 aia 測試

nss-softokn [3.14.3-3]
- 新增修補程式以根據舊版或新 sqlite api 有條件地進行編譯
- new 在 rhel-6 上使用而 rhel-5 在舊版上但是我們需要對兩者使用相同的程式碼
- 解決 rhbz#927158 - 重定基底至 nss-softokn 3.14.3 以修正 authentic-13 問題

[3.14.3-2]
- 還原為使用 relro 支援的程式碼修補程式
- 相關項目:rhbz#927158

[3.14.3-1]
- NSS_3_14_3_RTM 的更新
- 解決 rhbz#927158 - 重定基底至 nss-softokn 3.14.3 以修正 authentic-13 問題
- 在 __spec_install_post scriplet 中籤署命令前新增匯出 LD_LIBRARY_PATH=//usr/lib確保簽署工具與樹狀結構中的 freebl 連結因此驗證時會使用與簽署時相同的演算法
- 新增 %check 區段以根據封裝準則執行上游 crypto reqression 測試套件
- 不安裝 sechash.h 或 secmodt.h其依據 3.14 由 nss-devel 提供
- 將授權更新至 MPLv2.0

[3.12.9-12]
- 為重定基底而準備的 buildroot 啟動程序 至 3.14.3
- 從 %files devel 清單中移除 hasht.h避免與 nss-util 發生更新衝突
- 透過 3.14.3 hasht.h 將由 nss-util-devel 提供
- 相關 rhbz#927158 - 將 nss-softokn 重定基底至 3.14.3

nss-util [3.14.3-3]
- 解決:rhbz#984967 - nssutil_ReadSecmodDB 洩漏記憶體

[3.14.3-2]
- 還原為預設接受數位簽章上的 MD5
- 解決 rhbz#957603 - nss 3.14 - 停用 MD5 雜湊演算法

[3.14.3-1]
- NSS_3_14_3_RTM 的更新
- 解決 rhbz#927171 - 重定基底為 3.14.3 做為lucky-13 問題修正的一部分

Tenable 已直接從 Oracle Linux 安全公告擷取前置描述區塊。

請注意,Nessus 並未測試這些問題,而是僅依據應用程式自我報告的版本號碼作出判斷。

解決方案

更新受影響的套件。

另請參閱

https://linux.oracle.com/errata/ELSA-2013-1144.html

Plugin 詳細資訊

嚴重性: High

ID: 69253

檔案名稱: oraclelinux_ELSA-2013-1144.nasl

版本: 1.10

類型: local

代理程式: unix

已發布: 2013/8/8

已更新: 2025/4/29

支援的感應器: Frictionless Assessment Agent, Nessus Agent, Continuous Assessment, Nessus

風險資訊

VPR

風險因素: Low

分數: 3.4

CVSS v2

風險因素: Medium

基本分數: 4.3

時間性分數: 3.2

媒介: CVSS2#AV:N/AC:M/Au:N/C:P/I:N/A:N

CVSS 評分資料來源: CVE-2013-1620

CVSS v3

風險因素: High

基本分數: 7.5

時間性分數: 6.5

媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

時間媒介: CVSS:3.0/E:U/RL:O/RC:C

弱點資訊

CPE: p-cpe:/a:oracle:linux:nss-softokn-freebl-devel, p-cpe:/a:oracle:linux:nss-util, p-cpe:/a:oracle:linux:nss-softokn-freebl, p-cpe:/a:oracle:linux:nss-softokn, p-cpe:/a:oracle:linux:nss-pkcs11-devel, p-cpe:/a:oracle:linux:nspr, cpe:/o:oracle:linux:6, p-cpe:/a:oracle:linux:nspr-devel, p-cpe:/a:oracle:linux:nss-softokn-devel, p-cpe:/a:oracle:linux:nss-sysinit, p-cpe:/a:oracle:linux:nss-devel, p-cpe:/a:oracle:linux:nss-util-devel, p-cpe:/a:oracle:linux:nss-tools, p-cpe:/a:oracle:linux:nss

必要的 KB 項目: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/OracleLinux

可輕鬆利用: No known exploits are available

修補程式發佈日期: 2013/8/7

弱點發布日期: 2013/2/8

參考資訊

CVE: CVE-2013-0791, CVE-2013-1620

BID: 57777, 58826

RHSA: 2013:1144