检测

插件

RHEL 6：nss、nss-util 和 nspr (RHSA-2016:0591)

high Nessus 插件 ID 90386

语言：

简介

远程 Red Hat 主机缺少一个或多个安全更新。

描述

远程 Redhat Enterprise Linux 6 主机上安装的程序包受到 RHSA-2016:0591 公告中提及的多个漏洞影响。

网络安全服务 (NSS) 是一组库，专用于支持启用了安全性的客户端和服务器应用程序的跨平台开发。nss-util 程序包提供了可用于 Network Security Services (NSS) 库的实用工具。Netscape Portable Runtime (NSPR) 为非 GUI 操作系统设施提供平台独立性。

下列程序包已升级至更新的上游版本：nss 3.21.0、nss-util 3.21.0、nspr 4.11.0。(BZ#1300629, BZ#1299874, BZ#1299861)

安全修复：

* NSS 处理 DHE（Diffie- Hellman 密钥交换）和 ECDHE（椭圆曲线 Diffie-Hellman 密钥交换）握手消息的方式中发现一个释放后使用缺陷。远程攻击者可发送特别构建的握手消息，在由与 NSS 相链接的应用程序解析时，会造成该应用程序崩溃，或在某些特殊情况下，会利用运行该应用程序的用户权限执行任意代码。(CVE-2016-1978)

* 在 NSS 处理某些 DER (Distinguished Encoding Rules) 编码的加密密钥的方式中发现一个释放后使用缺陷。攻击者可利用此缺陷创建特别构建的 DER 编码证书，当以 NSS 库编译的应用程序解析时，可造成该应用程序崩溃，或以运行该应用程序的用户权限来执行任意代码。
(CVE-2016-1979)

Red Hat 在此感谢 Mozilla 项目报告这些问题。上游感谢 CVE-2016-1978 的原始报告者 Eric Rescorla 以及 CVE-2016-1979 的原始报告者 Tim Taubert。

Tenable 已直接从 Red Hat Enterprise Linux 安全公告中提取上述描述块。

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

解决方案

更新受影响的程序包。

另见

http://www.nessus.org/u?03c4be8b

https://access.redhat.com/errata/RHSA-2016:0591

https://access.redhat.com/security/updates/classification/#moderate

https://bugzilla.redhat.com/show_bug.cgi?id=1299861

https://bugzilla.redhat.com/show_bug.cgi?id=1299874

https://bugzilla.redhat.com/show_bug.cgi?id=1300629

https://bugzilla.redhat.com/show_bug.cgi?id=1315202

https://bugzilla.redhat.com/show_bug.cgi?id=1315565

插件详情

严重性: High

ID: 90386

文件名: redhat-RHSA-2016-0591.nasl

版本: 2.13

类型: local

代理: unix

系列: Red Hat Local Security Checks

发布时间: 2016/4/7

最近更新时间: 2025/3/21

支持的传感器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus

风险信息

VPR

风险因素: Medium

分数: 5.9

Vendor

Vendor Severity: Moderate

CVSS v2

风险因素: High

基本分数: 7.5

时间分数: 5.5

矢量: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P

CVSS 分数来源: CVE-2016-1978

CVSS v3

风险因素: High

基本分数: 8.8

时间分数: 7.7

矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

时间矢量: CVSS:3.0/E:U/RL:O/RC:C

CVSS 分数来源: CVE-2016-1979

漏洞信息

CPE: p-cpe:/a:redhat:enterprise_linux:nss-pkcs11-devel, p-cpe:/a:redhat:enterprise_linux:nss-devel, p-cpe:/a:redhat:enterprise_linux:nss-tools, p-cpe:/a:redhat:enterprise_linux:nss-util, p-cpe:/a:redhat:enterprise_linux:nss-sysinit, cpe:/o:redhat:enterprise_linux:6, p-cpe:/a:redhat:enterprise_linux:nspr-devel, p-cpe:/a:redhat:enterprise_linux:nspr, p-cpe:/a:redhat:enterprise_linux:nss-util-devel, p-cpe:/a:redhat:enterprise_linux:nss

必需的 KB 项: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu

易利用性: No known exploits are available

补丁发布日期: 2016/4/5

漏洞发布日期: 2016/3/13

参考资料信息

CVE: CVE-2016-1978, CVE-2016-1979

RHSA: 2016:0591