OracleVM 3.3 / 3.4:nss / nss-util (OVMSA-2017-0065)
high Nessus 插件 ID 99568
语言:
简介
远程 OracleVM 主机缺少一个或多个安全更新。描述
远程 OracleVM 系统缺少解决关键安全更新的必要补丁:nss
- 已新增 nss-vendor.patch,以更改供应商
- 过期的 PayPalEE.cert 更新前,暂时禁用某些测试
- 变基至 3.28.4
- 修复 tstclnt -W 造成的崩溃
- 调整 gtests,使其与旧的 softoken 和下游补丁一起运行
- 避免加密套件的顺序更改,此问题由 Hubert Kario 发现
- 变基至 3.28.3
- 删除上游 moz-1282627-rh-1294606.patch、moz-1312141-rh-1387811.patch、moz-1315936.patch 和 moz-1318561.patch
- 删除不再需要的 nss-duplicate-ciphers.patch
- 禁用 X25519 并排除使用此协议的测试
- Kamil Dudka 捕捉到对 RSA 密钥的 ASN1 解码失败 (#1427481)
- 更新过期的 PayPalEE.cert
- 禁用 ssl_gtests 中不受支持的测试案例
- 调整 sslstress.txt 文件名,使其与从 RHEL 7 移植的 disableSSL2tests 补丁相匹配
- 从压力测试中排除 SHA384 和测试的 CHACHA20_POLY1305 加密套件
- 除非启用 gtests,否则请勿在 nss_tests 添加 gtests 和 ssl_gtests
- 添加补丁以修复 SSL CA 名称泄露(取自 NSS 3.27.2 版本)
- 添加补丁以修复 tests / ssl.sh 中的 bash 语法错误
- 添加补丁以删除 sslinfo.c 中重复的加密套件条目
- 添加补丁以中止不可解析版本范围上的 selfserv/strsclnt/tstclnt
- 支持 SSLKEYLOGFILE 的构建
- 更新 fix_multiple_open 补丁以修复 openldap 客户端中的回归
- 删除与 Firefox 共同造成崩溃的 pk11_genobj_leak 补丁
- 在策略文件中添加注释以保留最后的空行
- softoken 未提供 CKM_TLS12_KEY_AND_MAC_DERIVE 时,禁用 SHA384 加密套件,以此取代 check_hash_impl 补丁
- 修复 check_hash_impl 补丁中的问题
- 添加补丁以检查令牌是否支持哈希算法
- 添加补丁以禁用过去从未启用的 TLS_ECDHE_[RSA,ECDSA]_WITH_AES_128_CBC_SHA256
- 添加上游补丁以修复崩溃问题。Mozilla #1315936
- 禁用使用 SSL/TLS 的 RSA-PSS。#1390161
- 使用更新后的上游补丁(针对 RH 错误 1387811)
- 已添加上游补丁,以修复 RH 错误 1057388、1294606、1387811
- 请求时启用 gtests
- 变基至 NSS 3.27.1
- 删除不需要的 nss-646045.patch
- 删除 p-disable-md5-590364-reversed.patch(此处为 no-op),这是因为已修补的代码稍后将在 %setup 中删除
- 删除 disable_hw_gcm.patch(此处为 no-op),这是因为已修补的代码稍后将在 %setup 中删除
只有 RHEL 5 需要删除 NSS_DISABLE_HW_GCM 设置
- 添加 Bug-1001841-disable-sslv2-libssl.patch 和 Bug-1001841-disable-sslv2-tests.patch,从而完全禁用 EXPORT 加密套件。从 RHEL 7 移植
- 删除 Bug-1001841-disable-sslv2-tests.patch 中的 disable-export-suites-tests.patch
- 删除 nss-ca-2.6-enable-legacy.patch,因为我们决定禁用 1024 位旧版 CA 证书
- 删除 ssl-server-min-key-sizes.patch,因为我们决定支持大于 1023 位的 DH 密钥
- 删除 nss-init-ss-sec-certs-null.patch(似乎为 no-op),因为其清理使用 PORT_ZAlloc 分配的内存区域
- 删除 nss-disable-sslv2-libssl.patch、nss-disable-sslv2-tests.patch、sslauth-no-v2.patch 和 nss-sslstress-txt-ssl3-lower-value-in-range.patch,因为上游已禁用 SSLv2
- 删除在上游修复的 fix-nss-test-filtering.patch
- 从 Fedora 添加 nss-check-policy-file.patch
- 在 /etc/pki/nss-legacy/nss-rhel6.config 中安装策略配置
nss-util
- 变基至 NSS 3.28.4,以适应 base64 编码补丁
- 变基至 NSS 3.28.3
- 程序包新标头 eccutil.h
- 允许策略文件没有最后的空行
- 添加缺少的源文件
- 变基至 NSS 3.26.0
- 删除针对 CVE-2016-1950 的上游补丁
- 删除针对错误 1335915 的 p-disable-md5-590364-reversed.patch
解决方案
更新受影响的程序包。另见
插件详情
严重性: High
ID: 99568
文件名: oraclevm_OVMSA-2017-0065.nasl
版本: 3.5
类型: local
发布时间: 2017/4/21
最近更新时间: 2021/1/4
支持的传感器: Nessus
风险信息
VPR
风险因素: Medium
分数: 6.7
CVSS v2
风险因素: Medium
基本分数: 6.8
时间分数: 5
矢量: CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P
CVSS v3
风险因素: High
基本分数: 8.8
时间分数: 7.7
矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
时间矢量: CVSS:3.0/E:U/RL:O/RC:C
漏洞信息
CPE: cpe:/o:oracle:vm_server:3.3, p-cpe:/a:oracle:vm:nss-tools, p-cpe:/a:oracle:vm:nss-sysinit, p-cpe:/a:oracle:vm:nss-util, cpe:/o:oracle:vm_server:3.4, p-cpe:/a:oracle:vm:nss
必需的 KB 项: Host/local_checks_enabled, Host/OracleVM/release, Host/OracleVM/rpm-list
易利用性: No known exploits are available
补丁发布日期: 2017/4/20
漏洞发布日期: 2016/3/13
参考资料信息
CVE: CVE-2016-1950