来自 Red Hat 安全公告 2016:0370：

更新后的 nss-util 程序包程序包修复了一个安全问题，现可用于 Red Hat Enterprise Linux 6 和 7。

Red Hat 产品安全团队将此更新评级为具有严重安全影响。可从“参考”部分中的 CVE 链接获取通用漏洞评分系统 (CVSS) 基本分数，其给出了详细的严重性等级。

网络安全服务 (NSS) 是一组库，专用于支持启用了安全性的客户端和服务器应用程序的跨平台开发。nss-util 程序包提供一系列用于 NSS 和 Softoken 模块的实用工具。

在 NSS 解析特定 ASN.1 结构的方式中发现一个基于堆的缓冲区溢出缺陷。攻击者可利用此缺陷创建特别构建的证书，当通过 NSS 解析时，可造成其崩溃，或导致以运行针对 NSS 库编译的应用程序的用户权限执行任意代码。
(CVE-2016-1950)

Red Hat 在此感谢 Mozilla 项目报告此问题。上游感谢原始报告者 Francis Gabriel。

建议所有 nss-util 用户升级这些更新后的程序包，其中包含用于修正此问题的向后移植的修补程序。为使更新生效，必须重新启动链接到 nss 和 nss-util 库的所有应用程序，或重新启动系统。

检测

Oracle Linux 6 / 7：nss-util (ELSA-2016-0370)

high Nessus 插件 ID 89769

版本 2.14