FreeBSD:NSS -- 多种漏洞 (c4292768-5273-4f17-a267-c5fe35125ce4)

high Nessus 插件 ID 89768
全新!插件严重性现在使用 CVSS v3

计算的插件严重性默认已更新为使用 CVSS v3。没有 CVSS v3 分数的插件将回退到 CVSS v2 来计算严重性。可以在设置下拉列表中切换严重性显示首选项。

简介

远程 FreeBSD 主机缺少一个或多个与安全有关的更新。

描述

Mozilla Foundation 报告:

安全研究人员 Francis Gabriel 报告,在 Network Security Services (NSS) 库解析某些 ASN.1 结构的方式中有一个基于堆的缓冲区溢出。攻击者可创建特别构建的证书,当通过 NSS 解析时,可造成其崩溃或以用户的权限执行任意代码。

Mozilla 开发人员 Tim Taubert 使用地址审查器工具和软件模糊测试,发现处理 Network Security Services (NSS) 库中 DER 编码的密钥时,有一个释放后使用漏洞。此漏洞用零覆盖释放的内存。

解决方案

更新受影响的程序包。

另见

https://www.mozilla.org/en-US/security/advisories/mfsa2016-35/

https://www.mozilla.org/en-US/security/advisories/mfsa2016-36/

https://hg.mozilla.org/projects/nss/rev/b9a31471759d

https://hg.mozilla.org/projects/nss/rev/7033b1193c94

http://www.nessus.org/u?082597b7

插件详情

严重性: High

ID: 89768

文件名: freebsd_pkg_c429276852734f17a267c5fe35125ce4.nasl

版本: 2.10

类型: local

发布时间: 2016/3/9

最近更新时间: 2021/1/4

依存关系: ssh_get_info.nasl

风险信息

VPR

风险因素: Medium

分数: 5.9

CVSS v2

风险因素: Medium

基本分数: 6.8

矢量: AV:N/AC:M/Au:N/C:P/I:P/A:P

CVSS v3

风险因素: High

基本分数: 8.8

矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

漏洞信息

CPE: p-cpe:/a:freebsd:freebsd:linux-c6-nss, p-cpe:/a:freebsd:freebsd:linux-firefox, p-cpe:/a:freebsd:freebsd:linux-seamonkey, p-cpe:/a:freebsd:freebsd:linux-thunderbird, p-cpe:/a:freebsd:freebsd:nss, cpe:/o:freebsd:freebsd

必需的 KB 项: Host/local_checks_enabled, Host/FreeBSD/release, Host/FreeBSD/pkg_info

补丁发布日期: 2016/3/8

漏洞发布日期: 2016/3/8

参考资料信息

CVE: CVE-2016-1950, CVE-2016-1979