检测

Oracle Linux 6:nspr / nss / nss-util (ELSA-2012-0973)

high Nessus 插件 ID 68563

语言:

简介

远程 Oracle Linux 主机缺少一个或多个安全更新。

描述

来自 Red Hat 安全公告 2012:0973:

更新后的 nss、nss-util 和 nspr 程序包修复了一个安全问题和多个缺陷,并增加了多种增强功能,现在可用于 Red Hat Enterprise Linux 6。

Red Hat 安全响应团队已将此更新评级为具有中等安全影响。

网络安全服务 (NSS) 是一组库,专用于支持启用了安全性的客户端和服务器应用程序的跨平台开发。Netscape Portable Runtime (NSPR) 为非 GUI 操作系统设施提供平台独立性。

已发现一家证书颁发机构 (CA) 为其客户颁发了附属 CA 证书,而该证书可被用于为任何名称颁发证书。此更新将附属 CA 证书显示为不受信任。(BZ#798533)

注意:此补丁仅适用于使用 NSS Builtin 对象标记的应用程序。它不会令证书对于使用 NSS 库但并未使用 NSS 内置对象标记的应用程序变为不受信任。

nspr 程序包已升级到上游版本 4.9,其提供了对之前版本的多项缺陷补丁和增强。(BZ#799193)

nss-util 程序包已升级到上游版本 3.13.3,其提供了对之前版本的多项缺陷补丁和增强。(BZ#799192)

nss 程序包已升级到上游版本 3.13.3,其提供了对之前版本的多个缺陷补丁和增强。特别是,默认已禁用 SSL 2.0,增加了对 SHA-224 的支持,PORT_ErrorToString 和 PORT_ErrorToName 现在返回错误消息和 NSS 错误代码的符号名称,而 NSS_GetVersion 现在则返回 NSS 版本字符串。(BZ#744070)

这些更新后的 nss、nss-util 和 nspr 程序包还提供针对以下缺陷的补丁:

* 检测到不存在的文件名时,PEM 模块内部函数未清理内存。结果,客户端模式下出现内存泄漏。已将代码改善为释放此类临时对象,因此不再出现报告的内存泄漏。
(BZ#746632)

* NSS 的最近更改重新引入了以下问题:应用程序在同一个进程内不能使用多个 SSL 客户端证书。
因此,只要尝试运行处理多个 SSL 客户端证书的命令(如“yum repolist”命令),都将导致重协商握手失败。通过此更新,已将用于修正此问题的修订版修补程序应用于 NSS,所以现在又可以在同一个进程中使用多个 SSL 客户端证书。
(BZ#761086)

* PEM 模块未能完全初始化新构建的、函数指针设置为 NULL 的对象。结果,访问程序包存储库时,有时会遇到 libcurl 中的分段冲突。通过此更新,代码已更改为完全初始化新分配的对象。因此,现在可以安装更新,不会出现问题。(BZ#768669)

* 因为 mod_nss 模块在按照记录的 API 初始化之前执行 nss 调用,所以稳定性缺乏缺陷造成 Red Hat Directory Server 的管理服务器意外终止。通过此更新,nss 保护自己,在被调用方正确初始化之前不被调用。(BZ#784674)

* 对 NSS 3.13.1 编译代码之前,某些编译器发生编译错误。显示了以下错误消息:

pkcs11n.h:365:26:警告:'__GNUC_MINOR' 未定义

已应用上游修补程序来改善代码,因此不会再出现此问题。(BZ#795693)

s* 据报告,为 nss 应用最近的更新后,Red Hat Enterprise MRG 中包含的消息后台程序 (qpidd) 意外终止。这是因为 qpidd 在初始化 nss 之前进行 nss 调用。这些更新后的程序包可以避免 qpidd 和其他受影响的进程(这些进程调用 nss 但不执行 API 强制要求的初始化)崩溃。(BZ#797426)

建议 NSS、NSPR 和 nss-util 用户升级这些更新后的程序包,其中修复了这些问题和增加这些增强功能。
安装此更新后,必须重新启动使用 NSS、NSPR 或 nss-util 的应用程序才能使此更改生效。

解决方案

更新受影响的 nspr、nss 和/或 nss-util 程序包。

另见

https://oss.oracle.com/pipermail/el-errata/2012-July/002914.html

插件详情

严重性: High

ID: 68563

文件名: oraclelinux_ELSA-2012-0973.nasl

版本: 1.7

类型: local

代理: unix

发布时间: 2013/7/12

最近更新时间: 2021/1/14

支持的传感器: Frictionless Assessment Agent, Nessus Agent, Nessus

漏洞信息

CPE: p-cpe:/a:oracle:linux:nspr, p-cpe:/a:oracle:linux:nspr-devel, p-cpe:/a:oracle:linux:nss, p-cpe:/a:oracle:linux:nss-devel, p-cpe:/a:oracle:linux:nss-pkcs11-devel, p-cpe:/a:oracle:linux:nss-sysinit, p-cpe:/a:oracle:linux:nss-tools, p-cpe:/a:oracle:linux:nss-util, p-cpe:/a:oracle:linux:nss-util-devel, cpe:/o:oracle:linux:6

必需的 KB 项: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/OracleLinux

补丁发布日期: 2012/7/2

漏洞发布日期: 2012/7/2

参考资料信息

RHSA: 2012:0973