AIX NAS 公告：nas_advisory1.asc

high Nessus 插件 ID 77532

语言：

简介

远程 AIX 主机安装的 NAS 版本受到多种漏洞的影响。

描述

远程 AIX 主机上安装的网络认证服务 (NAS) 的版本受到以下 Kerberos 5 相关漏洞的影响：

- 攻击者可通过向 GSSAPI 应用程序会话注入无效标记而造成拒绝服务（缓冲区读取越界和应用程序崩溃）。
(CVE-2014-4341)

- 如果攻击者能够将数据包伪装成看起来来自于 GSSAPI 接收器，则可利用采用 SPNEGO 机制的 GSSAPI 发起程序（客户端）中的双重释放情况，通过返回与发起程序所建议的不同底层机制，造成拒绝服务或执行任意代码。
(CVE-2014-4343)

- 攻击者可通过从发起程序向接收程序发送空标记作为第二个或更后面的上下文标记，在 SPNEGO 协商期间造成拒绝服务（通过空指针取消引用）和应用程序崩溃。(CVE-2014-4344)

解决方案

AIX 网站上提供可供下载的修复。

如果 NAS 文件集级别是 1.5.0.6，则应用 ifix “1506_fix.140813.epkg.Z”。

如果 NAS 文件集级别是 1.6.0.1，则应用 ifix “1601_fix.140813.epkg.Z”。

如果 NAS 文件集级别为 1.5.0.3/1.5.0.4，升级到文件集级别 1.6.0.1，并应用 ifix“1601_fix.140813.epkg.Z”。

对于其他文件集级别，升级到文件集级别 1.5.0.6，并应用 ifix“1506_fix.140813.epkg.Z”。

这些补丁将成为 NAS 1.5.0.7 和 1.6.0.2 版后续文件集的组成部分。

这些文件集已在 2014 年 11 月 14 日推出，可从 AIX 网站下载。

要从 tar 文件中提取补丁，请使用以下命令：tar xvf nas1_fix.tar cd nas1_fix

重要：如果可能，建议创建系统的 mksysb 备份。继续进行之前，验证其是否可启动并可读取。

要预览补丁安装，可使用命令：

installp -a - fix_name -p all

要安装补丁程序包，可使用命令：

installp -a - fix_name -X all