Debian DSA-3687-1:nspr - 安全性更新
high Nessus Plugin ID 93870
語系:
概要
遠端 Debian 主機缺少安全性相關更新。說明
據報告,NSPR (Mozilla 專案所開發的作業系統介面抽象程式庫) 中存在兩個弱點。- CVE-2016-1951 q1 報告 sprintf-style 字串格式化功能的 NSPR 實作錯誤計算了記憶體配置大小,可能導致堆積型緩衝區溢位
第二個問題與 NSPR 中的環境變數處理有關。程式庫並未忽略用於在處理程式中設定記錄和追踪的環境變數,這些變數在處理程式開始時進行了 SUID/SGID/AT_SECURE 轉換。在某些系統組態中,本機使用者可藉此提升權限。
此外,此 nspr 更新包含進一步的穩定性和正確性修正,且包含針對即將發佈之 nss 更新的支援程式碼。
解決方案
升級 nspr 套件。針對穩定的發行版本 (jessie),已在 2:4.12-1+debu8u1 版本中修正這些問題。
另請參閱
https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=583651
https://security-tracker.debian.org/tracker/CVE-2016-1951
Plugin 詳細資訊
嚴重性: High
ID: 93870
檔案名稱: debian_DSA-3687.nasl
版本: 2.10
類型: local
代理程式: unix
已發布: 2016/10/6
已更新: 2021/1/11
支援的感應器: Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus
風險資訊
VPR
風險因素: Medium
分數: 4.7
CVSS v2
風險因素: High
基本分數: 7.5
時間分數: 5.5
媒介: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P
CVSS v3
風險因素: High
基本分數: 8.6
時間分數: 7.5
媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:H
時間媒介: CVSS:3.0/E:U/RL:O/RC:C
弱點資訊
CPE: p-cpe:/a:debian:debian_linux:nspr, cpe:/o:debian:debian_linux:8.0
必要的 KB 項目: Host/local_checks_enabled, Host/Debian/release, Host/Debian/dpkg-l
可輕鬆利用: No known exploits are available
修補程式發佈日期: 2016/10/5
參考資訊
CVE: CVE-2016-1951
DSA: 3687