检测

Amazon Linux 2022:nss (ALAS2022-2021-002)

critical Nessus 插件 ID 212481

语言:

简介

远程 Amazon Linux 2022 主机缺少安全更新。

描述

远程主机上安装的 nss 版本低于 3.71.0-2。因此,它受到 ALAS2022-2021-002 公告中提及的一个漏洞影响。

 3.73 版及更高版本的 NSS(网络安全服务)在处理 DER 编码的 DSA 或 RSA-PSS 签名时容易受到堆溢出漏洞的影响。使用 NSS 处理在 CMS、S/MIME、PKCS \#7 或 PKCS \#12 内编码的签名的应用程序可能会受到影响。使用 NSS 验证证书或使用其他 TLS、X.509、OCSP 或 CRL 功能的应用程序可能会受到影响,具体取决于该等应用程序配置 NSS 的方式。

 验证 DER 编码的签名时,NSS 将签名解码为固定大小的缓冲区,并将缓冲区传递给基础 PKCS \#11 模块。处理 DSA 和 RSA-PSS 签名时,未正确检查签名长度。DSA 和 RSA-PSS 签名大于 16384 位将导致 VFYContextStr 中的缓冲区溢出。有漏洞的代码位于 secvfy.c:vfy_CreateContext 中。
 (CVE-2021-43527)

Tenable 已直接从测试产品的安全公告中提取上述描述块。

请注意,Nessus 尚未测试此问题,而是只依据应用程序自我报告的版本号进行判断。

解决方案

运行“yum update nss”以更新系统。

另见

https://alas.aws.amazon.com/AL2022/ALAS-2021-002.html

https://alas.aws.amazon.com/cve/html/CVE-2021-43527.html

插件详情

严重性: Critical

ID: 212481

文件名: al2022_ALAS2022-2021-002.nasl

版本: 1.2

类型: local

代理: unix

发布时间: 2024/12/11

最近更新时间: 2024/12/12

支持的传感器: Frictionless Assessment AWS, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus

风险信息

VPR

风险因素: Medium

分数: 6.7

CVSS v2

风险因素: High

基本分数: 7.5

时间分数: 5.9

矢量: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P

CVSS 分数来源: CVE-2021-43527

CVSS v3

风险因素: Critical

基本分数: 9.8

时间分数: 8.8

矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

时间矢量: CVSS:3.0/E:P/RL:O/RC:C

漏洞信息

CPE: p-cpe:/a:amazon:linux:nss-softokn-freebl-debuginfo, p-cpe:/a:amazon:linux:nss-util-devel, p-cpe:/a:amazon:linux:nss-softokn-freebl, p-cpe:/a:amazon:linux:nss-softokn-freebl-devel, p-cpe:/a:amazon:linux:nss-debugsource, p-cpe:/a:amazon:linux:nss-softokn-debuginfo, p-cpe:/a:amazon:linux:nspr-devel, p-cpe:/a:amazon:linux:nss-softokn-devel, cpe:/o:amazon:linux:2022, p-cpe:/a:amazon:linux:nss, p-cpe:/a:amazon:linux:nspr, p-cpe:/a:amazon:linux:nss-sysinit-debuginfo, p-cpe:/a:amazon:linux:nss-sysinit, p-cpe:/a:amazon:linux:nss-devel, p-cpe:/a:amazon:linux:nss-softokn, p-cpe:/a:amazon:linux:nss-tools-debuginfo, p-cpe:/a:amazon:linux:nss-util, p-cpe:/a:amazon:linux:nss-pkcs11-devel, p-cpe:/a:amazon:linux:nss-tools, p-cpe:/a:amazon:linux:nss-util-debuginfo, p-cpe:/a:amazon:linux:nss-debuginfo, p-cpe:/a:amazon:linux:nspr-debuginfo

必需的 KB 项: Host/local_checks_enabled, Host/AmazonLinux/release, Host/AmazonLinux/rpm-list

可利用: true

易利用性: Exploits are available

补丁发布日期: 2021/12/3

漏洞发布日期: 2021/12/1

参考资料信息

CVE: CVE-2021-43527

IAVA: 2024-A-0036