Oracle Linux 6nss、/ nss-util、/ nss-softokn、/ 和 / nspr (ELSA-2013-1144)
high Nessus 插件 ID 69253
语言:
简介
远程 Oracle Linux 主机缺少一个或多个安全更新。描述
远程 Oracle Linux 6 主机上安装的程序包受到 ELSA-2013-1144 公告中提及的多个漏洞的影响。nspr [4.9.5-2]
- 更新到 NSPR_4_9_5_RTM
- 解决:rhbz#927186 - 衍合到 nspr-4.9.5
- 依照包装指南添加现有修补程序的上游 URL
[4.9.5-1]
- 解决 衍合到 nspr-4.9.5
[4.9.2-1]
- nspr-4.9.2 的更新
- 相关:rhbz#863286
nss [3.14.3-4.0.1.el6_4]
- 已新增 nss-vendor.patch,以更改供应商
[3.14.3-4]
- 恢复为默认接受数字签名上的 MD5
- 解决了 rhbz#957603 - nss 3.14 - 禁用了 MD5 哈希算法
[3.14.3-3]
- 确保 pem 使用系统 freebl因为freebl 的此更新引入了新的 API
- 解决了 rhbz#927157 - [RFE][RHEL6] 衍合到 nss-3.14.3 以修复 Lucky-13 问题
[3.14.3-2]
- 安装现在由 nss-devel 提供的 sechash.h 和 secmodt.h
- 解决了 rhbz#927157 - [RFE][RHEL6] 衍合到 nss-3.14.3 以修复 Lucky-13 问题
- 从用于删除 nss-util 和 nss-softoken 已随附标头的命令中删除不安全的 -r 选项。
[3.14.3-1]
- 更新到 NSS_3.14.3_RTM
- 解决了 rhbz#927157 - [RFE][RHEL6] 衍合到 nss-3.14.3 以修复 Lucky-13 问题
- 更新过期的测试证书已在上游缺陷 852781 中修复
- 针对 nss-3.14.3 将 pem 模块的 rsawrapr.c 与 softoken 的上游更改同步
- 重新激活 aia 测试
nss-softokn [3.14.3-3]
- 添加修补程序以根据新旧 sqlite api 来有条件地编译
- rhel-6 使用新版而 rhel-5 使用旧版但我们需要两者使用相同的代码
- 解决了 rhbz#927158 - 衍合到 nss-softokn 3.14.3 以修复 Lucky-13 问题
[3.14.3-2]
- 恢复为使用 relro 支持的代码修补程序
- 相关:rhbz#927158
[3.14.3-1]
- 更新到 NSS_3_14_3_RTM
- 解决了 rhbz#927158 - 衍合到 nss-softokn 3.14.3 以修复 Lucky-13 问题
- 在 __spec_install_post scriplet 中的签名命令之前添加 export LD_LIBRARY_PATH=//usr/lib以确保签名工具与树内 freebl 链接因此验证使用与签名中相同的算法
- 添加 %check 部分以根据打包指南运行上游 crypto reqression 测试套件
- 不安装 3.14 由 nss-devel 提供的 sechash.h 或 secmodt.h
- 将许可证更新到 MPLv2.0
[3.12.9-12]
- 准备衍合到 准备中的 buildroot 启动 3.14.3
- 从 %files devel 列表中删除 hasht.h以防止与 nss-util 发生更新冲突
- 由于 3.14.3 hasht.h 将由 nss-util-devel 提供
- 相关 rhbz#927158 - 将 nss-softokn 衍合到 3.14.3
nss-util [3.14.3-3]
- 解决:rhbz#984967 - nssutil_ReadSecmodDB 泄漏内存
[3.14.3-2]
- 恢复为默认接受数字签名上的 MD5
- 解决了 rhbz#957603 - nss 3.14 - 禁用了 MD5 哈希算法
[3.14.3-1]
- 更新到 NSS_3_14_3_RTM
- 解决了 rhbz#927171 - 衍合到 3.14.3 作为 Lucky-13 问题补丁的一部分
Tenable 已直接从 Oracle Linux 安全公告中提取上述描述块。
请注意,Nessus 尚未测试这些问题,而是只依据应用程序自我报告的版本号进行判断。
解决方案
更新受影响的程序包。另见
插件详情
严重性: High
ID: 69253
文件名: oraclelinux_ELSA-2013-1144.nasl
版本: 1.10
类型: local
代理: unix
发布时间: 2013/8/8
最近更新时间: 2025/4/29
支持的传感器: Frictionless Assessment Agent, Nessus Agent, Continuous Assessment, Nessus
风险信息
VPR
风险因素: Low
分数: 3.4
CVSS v2
风险因素: Medium
基本分数: 4.3
时间分数: 3.2
矢量: CVSS2#AV:N/AC:M/Au:N/C:P/I:N/A:N
CVSS 分数来源: CVE-2013-1620
CVSS v3
风险因素: High
基本分数: 7.5
时间分数: 6.5
矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
时间矢量: CVSS:3.0/E:U/RL:O/RC:C
漏洞信息
CPE: p-cpe:/a:oracle:linux:nss-softokn-freebl-devel, p-cpe:/a:oracle:linux:nss-util, p-cpe:/a:oracle:linux:nss-softokn-freebl, p-cpe:/a:oracle:linux:nss-softokn, p-cpe:/a:oracle:linux:nss-pkcs11-devel, p-cpe:/a:oracle:linux:nspr, cpe:/o:oracle:linux:6, p-cpe:/a:oracle:linux:nspr-devel, p-cpe:/a:oracle:linux:nss-softokn-devel, p-cpe:/a:oracle:linux:nss-sysinit, p-cpe:/a:oracle:linux:nss-devel, p-cpe:/a:oracle:linux:nss-util-devel, p-cpe:/a:oracle:linux:nss-tools, p-cpe:/a:oracle:linux:nss
必需的 KB 项: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/OracleLinux
易利用性: No known exploits are available
补丁发布日期: 2013/8/7
漏洞发布日期: 2013/2/8
参考资料信息
CVE: CVE-2013-0791, CVE-2013-1620
RHSA: 2013:1144