Amazon Linux AMI:nss (ALAS-2013-217)

medium Nessus 插件 ID 70221

简介

远程 Amazon Linux AMI 主机缺少安全更新。

描述

已发现当解密 TLS/SSL 时,NSS 泄漏时限信息,并且当使用 CBC 模式加密套件时,DTLS 协议对记录进行加密。远程攻击者可能利用此缺陷,通过将 TLS/SSL 或 DTLS 服务器用作 padding oracle,从加密的数据包检索纯文本。(CVE-2013-1620)

在 NSS 解码某些证书的方式中发现越界内存读取缺陷。如果使用 NSS 的应用程序解码畸形证书,则该应用程序可能会崩溃。(CVE-2013-0791)

解决方案

运行 'yum update nss' 以更新系统。

另见

https://alas.aws.amazon.com/ALAS-2013-217.html

插件详情

严重性: Medium

ID: 70221

文件名: ala_ALAS-2013-217.nasl

版本: 1.4

类型: local

代理: unix

发布时间: 2013/10/1

最近更新时间: 2018/4/18

支持的传感器: Agentless Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Nessus Agent, Nessus

风险信息

VPR

风险因素: Low

分数: 3.4

CVSS v2

风险因素: Medium

基本分数: 5

矢量: CVSS2#AV:N/AC:L/Au:N/C:N/I:N/A:P

漏洞信息

CPE: p-cpe:/a:amazon:linux:nss, p-cpe:/a:amazon:linux:nss-debuginfo, p-cpe:/a:amazon:linux:nss-devel, p-cpe:/a:amazon:linux:nss-pkcs11-devel, p-cpe:/a:amazon:linux:nss-sysinit, p-cpe:/a:amazon:linux:nss-tools, cpe:/o:amazon:linux

必需的 KB 项: Host/local_checks_enabled, Host/AmazonLinux/release, Host/AmazonLinux/rpm-list

补丁发布日期: 2013/8/7

参考资料信息

CVE: CVE-2013-0791, CVE-2013-1620

ALAS: 2013-217

RHSA: 2013:1144