Amazon Linux AMI:nss-util / nss,nss-softokn (ALAS-2016-774)

high Nessus 插件 ID 95894

简介

远程 Amazon Linux AMI 主机缺少安全更新。

描述

CVE-2016-2834 nss: 多个安全缺陷 (MFSA 2016-61)

在 NSS 处理加密网络数据的方式中发现多个缓冲区处理缺陷。远程攻击者可利用这些缺陷,造成使用 NSS 的应用程序崩溃,或可能以运行该应用程序的用户权限来执行任意代码。

CVE-2016-8635 nss: small-subgroups 攻击缺陷

已发现 NSS 中的 Diffie Hellman 客户端密钥交换处理方式易受小型子组约束攻击。攻击者可利用此缺陷,通过将客户端 DH 密钥限定到所需组的小型子组,恢复私钥。

CVE-2016-5285 nss: PK11_SignWithSymKey/ssl3_ComputeRecordMACConstantTime 中缺少 NULL 检查导致服务器崩溃

在 NSS 处理无效 Diffie-Hellman 密钥的方式中发现空指针取消引用缺陷。远程客户端可利用此缺陷导致使用 NSS 的 TLS/SSL 服务器崩溃。

解决方案

运行 'yum update nss-util' 以更新系统。

运行 'yum update nss' 以更新系统。

运行 'yum update nss-softokn' 以更新系统。

另见

https://alas.aws.amazon.com/ALAS-2016-774.html

插件详情

严重性: High

ID: 95894

文件名: ala_ALAS-2016-774.nasl

版本: 3.2

类型: local

代理: unix

发布时间: 2016/12/16

最近更新时间: 2018/4/18

支持的传感器: Frictionless Assessment AWS, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus

风险信息

VPR

风险因素: Medium

分数: 6.7

CVSS v2

风险因素: High

基本分数: 9.3

矢量: CVSS2#AV:N/AC:M/Au:N/C:C/I:C/A:C

CVSS v3

风险因素: High

基本分数: 8.8

矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

漏洞信息

CPE: p-cpe:/a:amazon:linux:nss, p-cpe:/a:amazon:linux:nss-debuginfo, p-cpe:/a:amazon:linux:nss-devel, p-cpe:/a:amazon:linux:nss-pkcs11-devel, p-cpe:/a:amazon:linux:nss-softokn, p-cpe:/a:amazon:linux:nss-softokn-debuginfo, p-cpe:/a:amazon:linux:nss-softokn-devel, p-cpe:/a:amazon:linux:nss-softokn-freebl, p-cpe:/a:amazon:linux:nss-softokn-freebl-devel, p-cpe:/a:amazon:linux:nss-sysinit, p-cpe:/a:amazon:linux:nss-tools, p-cpe:/a:amazon:linux:nss-util, p-cpe:/a:amazon:linux:nss-util-debuginfo, p-cpe:/a:amazon:linux:nss-util-devel, cpe:/o:amazon:linux

必需的 KB 项: Host/local_checks_enabled, Host/AmazonLinux/release, Host/AmazonLinux/rpm-list

补丁发布日期: 2016/12/15

参考资料信息

CVE: CVE-2016-2834, CVE-2016-5285, CVE-2016-8635

ALAS: 2016-774