Debian DSA-3687-1:nspr - 安全更新

high Nessus 插件 ID 93870

简介

远程 Debian 主机缺少与安全相关的更新。

描述

据报告,NSPR(通过 Mozilla 项目开发的操作系统接口抽象库)中存在两个漏洞。

- CVE-2016-1951 报告的第一个问题是 sprintf-style 字符串格式化函数的 NSPR 实现未正确计算内存分配大小,可能导致基于堆的缓冲区溢出

第二个问题与 NSPR 中的环境变量处理有关。此库未忽略特定环境变量,使用这些变量可在进程启动时经过 SUID/SGID/AT_SECURE 转换的进程中配置日志记录和跟踪。在某些系统配置中,本地用户可利用此漏洞提升其权限。

此外,此 nspr 更新还可提供更稳定更准确的修复,而且其中包含即将推出的 nss 更新的支持代码。

解决方案

升级 nspr 程序包。

对于稳定发行版本 (jessie),这些问题已在版本 2:4.12-1+debu8u1 中修复。

另见

https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=583651

https://security-tracker.debian.org/tracker/CVE-2016-1951

https://packages.debian.org/source/jessie/nspr

https://www.debian.org/security/2016/dsa-3687

插件详情

严重性: High

ID: 93870

文件名: debian_DSA-3687.nasl

版本: 2.10

类型: local

代理: unix

发布时间: 2016/10/6

最近更新时间: 2021/1/11

支持的传感器: Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus

风险信息

VPR

风险因素: Medium

分数: 4.7

CVSS v2

风险因素: High

基本分数: 7.5

时间分数: 5.5

矢量: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P

CVSS v3

风险因素: High

基本分数: 8.6

时间分数: 7.5

矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:H

时间矢量: CVSS:3.0/E:U/RL:O/RC:C

漏洞信息

CPE: p-cpe:/a:debian:debian_linux:nspr, cpe:/o:debian:debian_linux:8.0

必需的 KB 项: Host/local_checks_enabled, Host/Debian/release, Host/Debian/dpkg-l

易利用性: No known exploits are available

补丁发布日期: 2016/10/5

参考资料信息

CVE: CVE-2016-1951

DSA: 3687