OracleVM 3.2：nss (OVMSA-2016-0066)

critical Nessus 插件 ID 91747

语言：

简介

远程 OracleVM 主机缺少安全更新。

描述

远程 OracleVM 系统缺少必要修补程序来解决关键安全更新：

- 修复其他位置的 SSL_DH_MIN_P_BITS。

- 对 768 的 SSL_DH_MIN_P_BITS 继续沿用先前发布的版本。

- 运行 SSL 测试

- 添加兼容性修补程序以防止回归

- 确保执行所有 ssl.sh 测试

- 衍合到 nss 3.21

- 解决了：缺陷 1297944 - 针对 Firefox 45 将 RHEL 5.11.z 衍合到 NSS 3.21

- 实际应用来自 NSS 3.19.2.3 的 CVE-2016-1950 补丁...

- 包括来自 NSS 3.19.2.3 的 CVE-2016-1950 补丁

- 解决了：缺陷 1269354 - CVE-2015-7182 (CVE-2015-7181)

- 将 nss 衍合到 3.19.1

- 获取上游补丁来修复 3.19.1 造成的客户端认证回归

- 恢复针对密钥大小下限设置的上游变更

- 删除因衍合导致渲染过时的修补程序

- 针对衍合版本更新现有修补程序

- 通过 nss-3.19.1 获取上游修补程序

- 解决：缺陷 1236954 - CVE-2015-2730 NSS：ECDSA 签名验证未正确处理部分签名 (MFSA 2015-64)

- 解决：缺陷 1236967 - CVE-2015-2721 NSS：错误地允许略过 ServerKeyExchange (MFSA 2015-71)

- 在 RHEL 6.x 中，默认不变更 TLS 版本。

- 从 NSS 3.18.1更新至 CKBI 2.4（这是 NSS 3.18.1 的唯一变更）

- 将 PayPalICA.cert 和 PayPalRootCA.cert 复制到 nss/tests/libpkix/certs

- 解决了：缺陷 1200905 - 将 nss 衍合到 Firefox 38 ESR 的 3.18 [RHEL-5.11]

- 由于衍合而更新并重新启用 nss-646045.patch

- 启用其他 ssl 测试周期并记录某些周期无法启用的原因

- 解决了：缺陷 1200905 - 将 nss 衍合到 Firefox 38 ESR 的 3.18 [RHEL-5.11]

- 修复 nss/tests/all.sh 中的 shell 语法错误

- 解决了：缺陷 1200905 - 将 nss 衍合到 Firefox 38 ESR 的 3.18 [RHEL-5.11]

- 替换破坏版本的整个 PayPal 测试证书

- 解决了：缺陷 1200905 - 将 nss 衍合到 Firefox 38 ESR 的 3.18 [RHEL-5.11]

- 解决了：缺陷 1200905 - 将 nss 衍合到 Firefox 38 ESR 的 3.18 [RHEL-5.11]

- 解决了：缺陷 1158159：升级到适用于 Firefox 31.3 的 NSS 3.16.2.3

- 调整 softokn 修补程序以兼容旧的 softokn API。

- 解决了：缺陷 1145430 - (CVE-2014-1568)

- 添加随 NSS 3.16.2.1 发布的修补程序

- 解决了：缺陷 1145430 - (CVE-2014-1568)

- 向后移植 Firefox 31 ESR 所需的 nss-3.12.6 上游补丁

- 解决了：缺陷 1110860

- 衍合到 nss-3.16.1（适用于 FF31）

- 解决：缺陷 1110860 - 将 RHEL 5.11 中的 nss 衍合到 NSS 3.16.1，以适应 FF 31 的要求

- 删除未使用和过时的修补程序

- 相关：缺陷 1032468

- 改进 %check 区段上错误检测的 shell 代码

- 解决：缺陷 1035281 - nss.spec 中的 shell 代码性能欠佳

- 撤销某个错误发布的 anssi 证书中的信任

- 解决：缺陷 1042684 - nss：错误发布的 ANSSI/DCSSI 证书 (MFSA 2013-117)

- 获取 rhel-10.Z 分支中的修正，删除未使用的修补程序

- 解决了：rhbz#1032468 - CVE-2013-5605 CVE-2013-5606 (CVE-2013-1741) nss：各种缺陷 [rhel-5.11]

- 删除未使用的修补程序，重新标记 nss-3.15.3 的更新

- 解决了：rhbz#1032468 - CVE-2013-5605 CVE-2013-5606 (CVE-2013-1741) nss：各种缺陷 [rhel-5.11]

- 更新到 nss-3.15.3

- 解决了：rhbz#1032468 - CVE-2013-5605 CVE-2013-5606 (CVE-2013-1741) nss：各种缺陷 [rhel-5.11]

- 删除未使用的修补程序

- 解决了：rhbz#1002642 - 将 RHEL 5 衍合到 NSS 3.15.1（适用于 FF 24.x）

- 衍合到 nss-3.15.1

- 解决了：rhbz#1002642 - 将 RHEL 5 衍合到 NSS 3.15.1（适用于 FF 24.x）

- 解决：rhbz#1015864 - [回归] NSS 不再信任 MD5 证书

- 将 %check 区段测试拆分为两类：freebl/softoken 及 nss 的其余测试

- 调整适用于衍合的多种修补程序和 spec 文件步骤

- 添加适用于衍合的多种修补程序，并删除过时的项目

- 为修补程序重新编号，使 freeb/softoken 项目与 rhel-6 nss-softokn 中的对应项目相匹配

- 使 freebl 来源与 rhel-6.5 的对应来源相同

- 相关：rhbz#987131

- 调整修补程序，使用上游 nss 完成 syncup

- 按照适用于 spec 文件的处理方式在修补程序中使用 NSS_DISABLE_HW_GCM

- 确保 nss 和 softoken 端的 softoken/freebl 代码相同

- 相关：rhbz#987131

- 添加 disable_hw_gcm.patch，并在 spec 文件中导出 NSS_DISABLE_HW_GCM=1

- 由于旧版内核缺少适用于 RHEL-5 的 HW GCM 支持，因此禁用该支持

- 相关：rhbz#987131

- 相关：rhbz#987131 - 将 cpuifo 作为测试的一部分显示

- 解决：rhbz#987131 - 获取自 nss-3.14.3 发行后应用的多种上游 GCM 代码补丁

- 回滚为 79c87e69caa7454cbcf5f8161a628c538ff3cab3

- 先前添加的修补程序未解决不定时发生的核心转储问题

- 相关：rhbz#983766 - nssutil_ReadSecmodDB 泄漏内存

- 解决：rhbz#983766 - nssutil_ReadSecmodDB 泄漏内存

- 添加修补程序，以解决不定期发生的 blapitest 核心转储问题

- 还原 RHEL-5 上二进制兼容性所需的“export NO_FORK_CHECK=1”

- 删除一个未使用的修补程序

- 解决：rhbz#918948 - [RFE][RHEL5] 衍合到 nss-3.14.3

- 解决：rhbz#807419 - nss-tools certutil -H 不列出所有选项

- 应用上游补丁，以支持 ecc 启用和 aes gcm

- 依据上游重命名两个宏 EC_MIN_KEY_BITS 和 EC_MAX_KEY_BITS

- 应用多个上游 AES GCM 补丁

- 解决了：rhbz#960241 - 在 nss 和 freebl 中启用 ECC

- 解决：rhbz#918948 - [RFE][RHEL5]

- 启用 ECC 支持（仅限于套件 b）

- 在 %check 区段中导出 NSS_ENABLE_ECC=1 以正确测试 ecc

- 解决了：rhbz#960241 - 在 nss 和 freebl 中启用 ECC

- 编译兼容 ABI 的 softoken 时，定义 -DNO_FORK_CHECK

- 解决了：rhbz#918948 - [RFE][RHEL5] 衍合到 nss-3.14.3 以修复 lucky-13 问题

- 删除过时的 nss-nochktest.patch

- 相关：rhbz#960241 - 在 nss 和 freebl 中启用 ECC

- 使用未剥离的来源来启用 ECC

- 解决了：rhbz#960241 - 在 nss 和 freebl 中启用 ECC

- 修复有失败报告的 rpmdiff 测试，并删除其他不需要的变更

- 解决了：rhbz#918948 - [RFE][RHEL5] 衍合到 nss-3.14.3 以修复 lucky-13 问题

- 2013 年 4 月 22 日星期一 Elio Maldonado - 3.14.3-3

- 更新到 NSS_3_14_3_RTM。

- 重新执行衍合以保留需要的特性

- 确保从额外的版本树状结构安装 frebl/softoken

- 不纳入 freebl 静态库或其专用标头

- 添加修补程序，以处理系统 sqlite 状态不够新的问题

- 不安装 nss-sysinit 和 sharedb

- 解决了：rhbz#918948 - [RFE][RHEL5] 衍合到 nss-3.14.3 以修复 lucky-13 问题

- 2013 年 4 月 1 日星期一 Elio Maldonado - 3.14.3-2

- 还原更新到 3.14.3 的 freebl-softoken 来源 tar ball

- 为部分来源重新编号以便理解

- 解决了：rhbz#918948 - [RFE][RHEL5] 衍合到 nss-3.14.3 以修复 lucky-13 问题

- 更新到 NSS_3_14_3_RTM。

- 解决了：rhbz#918948 - [RFE][RHEL5] 衍合到 nss-3.14.3 以修复 lucky-13 问题

- 解决：rhbz#891150 - 不信任 TURKTRUST 错误发布的
*.google.com 证书

- 更新到 NSS_3_13_6_RTM。

- 解决：rhbz#883788 - [RFE] [RHEL5] 衍合到 NSS >= 3.13.6

- 解决了：rhbz#820684

- 将 attrFlagsArray 中的最后一个条目修复为 [NAME_SIZE(unextractable)，PK11_ATTR_UNEXTRACTABLE]

- 解决了：rhbz#820684

- 启用 certutil 来处理用户为 PKCS #11 属性提供的标记。

- 这可让 certutil 在 fussy 硬件标记中生成密钥。

- 修复修补程序元数据信息区域中的一个错误（无代码变更）

- 相关：rhbz#830304 - 修复 ia64 / i386 multilib nss 安装失败

- 删除不再需要的 %pre 和 %preun 脚本（用于 RHEL-5.0 的 nss 更新）

- 相关：rhbz#830304 - 修复 %post 行的变更

- 在多种命令中设置 /sbin/lconfig 作为小脚本开头的要求

- 解决：rhbz#830304 - 修复 multilib 和小脚本问题

- 依照封装准则修复 %post 和 %postun 行

- 依照封装准则添加 %[?_isa] 到工具 Requires:

- 修复 rpmlint 报告的 explicit-lib-dependency zlib 错误

- 解决：rhbz#830304 - 删除不需要的 nss.pc.in 变更

- 更新到 NSS_3_13_5_RTM。

- 解决：rhbz#830304 - 针对 Mozilla 10.0.6 将 RHEL 5.x 更新到 NSS 3.13.5 和 NSPR 4.9.1

- 解决：rhbz#797939 - 保护 NSS_Shutdown 不受初始化 nss 失败的客户端影响

- 解决：缺陷 788039 - 重新标记以防止更新出现问题

- 解决：缺陷 788039 - 衍合 nss，以促成 firefox 10 LTS 的衍合

- 更新到 4.8.9

- 解决：缺陷 713373 - 服务 httpd 重新加载后的文件描述符泄漏

- 若已初始化或没有任何 dbs 则不初始化 nss

- 将高于 RHEL-5-7-Z 分支的 Y-stream 版本重新标记

- 重新标记，将 n-v-r 保持在等同于 RHEL-5-7-Z 分支版本的状态

- 将内置命令证书更新为来自 NSSCKBI_1_88_RTM 的证书

- httpd 重新加载的插件文件描述符泄漏

- 将内置命令证书更新为来自 NSSCKBI_1_87_RTM 的证书

- 将内置命令证书更新为来自 NSSCKBI_1_86_RTM 的证书

- 将内置命令证书更新到 NSSCKBI_1_85_RTM

- 更新到 3.12.10

- 修复已封装私钥的 libcrmf 硬编码大小上限

- 通过修补程序将内置命令证书更新到 NSS_3.12.9_WITH_CKBI_1_82_RTM

- 将内置命令证书更新为来自 NSS_3.12.9_WITH_CKBI_1_82_RTM 的证书

- 更新到 3.12.8