检测

MagicLinux 3nspr-4.10.2-2.AXS3、nss-3.15.3-4.AXS3 (AXSA:2014-237:01)

critical Nessus 插件 ID 291509

语言:

简介

远程iraclelinux 主机缺少一个或多个安全更新。

描述

远程 MagicLinux 3 主机上存在安装的程序包该程序包受到 AXSA:2014-237:01 公告中提及的多个漏洞的影响。

 nss:网络安全服务 (NSS) 是一组库,用于支持启用安全的客户端和服务器应用程序的跨平台开发。使用 NSS 构建的应用程序可支持 SSL v2 和 v3、TLS、PKCS #5、PKCS #7、PKCS #11、PKCS #12、S/MIME、X.509 v3 证书及其他安全标准。
 nspr:NSPR 为非 GUI 操作系统设施提供平台独立性。这些设施包括线程、线程同步、正常文件和网络 I/O、间隔定时和日历时间、基本内存管理malloc 和释放以及共享库链接。
 此版本修复的安全问题
 CVE-2013-17393.15.2 之前版本的 Mozilla Network Security Services (NSS) 未确保数据结构在读取操作前初始化这允许远程攻击者通过触发解密失败的向量造成拒绝服务或可能造成其他不明影响。
 CVE-2013-1741 之前的 Mozilla Network Security Services (NSS) 3.15 中的 3.15.3 整数溢出允许远程攻击者通过大值造成拒绝服务或可能产生其他不明影响。
 CVE-2013-5605 Mozilla Network Security Services (NSS) 低于 [] 的 3.143.14.5 和低于 [ 3.15 的 3.15.3 允许远程攻击者通过无效的握手数据包造成拒绝服务或可能造成其他不明影响。
 CVE-2013-5606 低于 3.15.3 的 Mozilla Network Security Services (NSS) 3.15 中当 CERTVerifyLog 参数有效时lib/certhigh/certvfy.c 中的 CERT_VerifyCert 函数提供不兼容的 key-usage 证书的意外返回值这可能允许远程攻击者通过构建的证书绕过预期访问限制。
 CVE-2013-5607 低于 4.10.2的 Firefox 中使用的 之前的 Mozilla Netscape Portable Runtime (NSPR) 、低于 25.0.1的Firefox ESR 17.x17.0.11 和之前的 24.1.124.x 以及 2.22.1之前的 SeaMonkey 的 PL_ArenaAllocate 函数中存在整数溢出允许远程攻击可让攻击者通过特制的 X.509 证书造成拒绝服务应用程序崩溃或可能造成其他不明影响这是与 CVE-2013-1741相关的问题。
 将来自从属证书颁发机构 (CA) 的中间证书标记为不受信任因为错误颁发并允许中间人攻击。注意:这仅适用于使用 NSS 内置对象标记的应用程序。使用 NSS 库但不使用 NSS 内置对象标记的应用程序不会将此证书视为不受信任。

Tenable 已直接从MiracleLinux 安全公告中提取上述描述块。

请注意,Nessus 尚未测试这些问题,而是只依据应用程序自我报告的版本号进行判断。

解决方案

更新受影响的 nss、nss-devel 和/或 nss-tools 程序包。

另见

https://tsn.miraclelinux.com/en/node/4681

插件详情

严重性: Critical

ID: 291509

文件名: miracle_linux_AXSA-2014-237.nasl

版本: 1.1

类型: local

发布时间: 2026/1/19

最近更新时间: 2026/1/19

支持的传感器: Nessus Agent, Nessus

风险信息

VPR

风险因素: Medium

分数: 5.8

Vendor

Vendor Severity: High

CVSS v2

风险因素: High

基本分数: 7.5

时间分数: 5.5

矢量: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P

CVSS 分数来源: CVE-2013-5607

CVSS v3

风险因素: Critical

基本分数: 9.8

时间分数: 8.5

矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

时间矢量: CVSS:3.0/E:U/RL:O/RC:C

漏洞信息

CPE: cpe:/o:miracle:linux:3, p-cpe:/a:miracle:linux:nss-devel, p-cpe:/a:miracle:linux:nss-tools, p-cpe:/a:miracle:linux:nss

必需的 KB 项: Host/local_checks_enabled, Host/MiracleLinux/release, Host/MiracleLinux/rpm-list, Host/cpu

易利用性: No known exploits are available

补丁发布日期: 2014/4/10

漏洞发布日期: 2013/10/11

参考资料信息

CVE: CVE-2013-1739, CVE-2013-1741, CVE-2013-5605, CVE-2013-5606, CVE-2013-5607