BLSA-2016:0101 – [中等] nss和nss-util 安全警告及修复方法



  • BLSA-2016:0101 – [中等] nss和nss-util 安全警告及修复方法

    问题描述

    最近,NSS最近暴露出多个漏洞。攻击者利用这些漏洞,会造成使用NSS的应用程序和服务器崩溃,从而对系统造成危害。建议所有受影响用户都安装BCLinux提供的的升级包以修复这些漏洞,升级包包含了修复这些漏洞的补丁文件。

    NSS 简介
    网络安全服务(Network Security Services,简称NSS)是一组支持跨平台开发安全客户端与服务器应用程序的程序库,它提供服务器侧硬件TLS/SSL加速和客户端侧智能卡的可选支持。NSS提供了支持TLS/SSL及S/MIME的完全开源实现。

    nss-util 简介
    nss-util包提供了用于网络安全服务(NSS)库的实用程序。

    提示
    此次安全更新的软件包版本隶属于7.3发行版,鉴于当前BCLinux 7.3尚未发布,本次安全更新仅针对急需修复此安全漏洞的用户,其他用户可以等待BCLinux 7.3发布后,统一将系统升级至7.3版本。
    软件包在CR源中,需要启用CR源才能应用修复方案。CR源的目的是为了在下一个版本发布之前,提供短期的软件包更新过渡支持。

    影响版本

    • BigCloud Enterprise Linux 7
    • BigCloud Enterprise Linux 6
    • Red Hat Enterprise Linux 7
    • Red Hat Enterprise Linux 6
    • CentOS Linux 7
    • CentOS Linux 6

    详细介绍

    CVE-2016-2834
    在NSS从网络处理加密数据的方式中发现了多个缓冲处理漏洞。远程攻击者可以使用这些漏洞来导致使用NSS的应用程序崩溃,或者可能在运行应用程序的用户的权限下执行任意代码。

    CVE-2016-5285
    在NSS处理无效Diffie-Hellman密钥的方式中发现了NULL指针解引用漏洞。远程客户端可以利用此漏洞导致使用NSS的TLS / SSL服务器崩溃。

    CVE-2016-8635
    研究发现Diffie Hellman客户端密钥使用NSS交换处理时易受小子群限制攻击。攻击者可以利用这个漏洞,通过将客户端DH密钥限制到所需组的子组来恢复私钥。

    解决方案

    BCLinux的官方源已经可以提供更新的nss和nss-util软件包,受影响的BCLinux 7 客户端用户需要升级到 3.21.3-2.el7_3版本,BCLinux6 客户端用户需要升级到3.21.3-2.el6版本 。

    BCLINX 7用户安装更新步骤如下:
    1.增加CR源,配置文件内容如下:

    [root@bclinux ~]# cat /etc/yum.repos.d/BCLinux-CR.repo 
    [cr] 
    name=BCLinux-$releasever - CR
    baseurl=http://mirrors.bclinux.org/bclinux/el7/cr/$basearch/
    gpgcheck=0 
    enabled=0
    

    2.检查YUM源设置,确保使用的是BCLinux官方YUM源

    [root@bclinux ~]# ls -l /etc/yum.repos.d/
    total 16
    -rw-r--r--. 1 root root 1127 Jan  6  2016 BCLinux-Base.repo
    -rw-r--r--. 1 root root  119 Jan  6  2016 BCLinux-CR.repo
    -rw-r--r--. 1 root root  794 Jan  6  2016 BCLinux-Kernel.repo
    -rw-r--r--. 1 root root 1153 Jan  6  2016 BCLinux-Source.repo
    -rw-r--r--. 1 root root  801 Jan  6  2016 BigCloud.repo
    

    3.安装更新

    [root@bclinux yum.repos.d]# yum --enablerepo=cr update nss
    Loaded plugins: fastestmirror, langpacks
    Loading mirror speeds from cached hostfile
    Resolving Dependencies
    --> Running transaction check
    ---> Package nss.x86_64 0:3.19.1-18.el7 will be updated
    --> Processing Dependency: nss = 3.19.1-18.el7 for package: nss-sysinit-3.19.1-18.el7.x86_64
    --> Processing Dependency: nss(x86-64) = 3.19.1-18.el7 for package: nss-tools-3.19.1-18.el7.x86_64
    ---> Package nss.x86_64 0:3.21.3-2.el7_3 will be an update
    --> Processing Dependency: nss-util >= 3.21.0-2.2 for package: nss-3.21.3-2.el7_3.x86_64
    --> Processing Dependency: nss-softokn(x86-64) >= 3.16.2.3-14.2 for package: nss-3.21.3-2.el7_3.x86_64
    --> Processing Dependency: nspr >= 4.11.0 for package: nss-3.21.3-2.el7_3.x86_64
    --> Processing Dependency: libnssutil3.so(NSSUTIL_3.21)(64bit) for package: nss-3.21.3-2.el7_3.x86_64
    --> Running transaction check
    ---> Package nspr.x86_64 0:4.10.8-2.el7_1 will be updated
    ---> Package nspr.x86_64 0:4.11.0-1.el7_2 will be an update
    ---> Package nss-softokn.x86_64 0:3.16.2.3-13.el7_1 will be updated
    ---> Package nss-softokn.x86_64 0:3.16.2.3-14.2.el7_2 will be an update
    --> Processing Dependency: nss-softokn-freebl(x86-64) >= 3.16.2.3-14.2.el7_2 for package: nss-softokn-3.16.2.3-14.2.el7_2.x86_64
    ---> Package nss-sysinit.x86_64 0:3.19.1-18.el7 will be updated
    ---> Package nss-sysinit.x86_64 0:3.21.3-2.el7_3 will be an update
    ---> Package nss-tools.x86_64 0:3.19.1-18.el7 will be updated
    ---> Package nss-tools.x86_64 0:3.21.3-2.el7_3 will be an update
    ---> Package nss-util.x86_64 0:3.19.1-4.el7_1 will be updated
    ---> Package nss-util.x86_64 0:3.21.3-1.1.el7_3 will be an update
    --> Running transaction check
    ---> Package nss-softokn-freebl.x86_64 0:3.16.2.3-13.el7_1 will be updated
    ---> Package nss-softokn-freebl.x86_64 0:3.16.2.3-14.2.el7_2 will be an update
    --> Finished Dependency Resolution
    
    Dependencies Resolved
    
    ===========================================================================================
     Package                   Arch          Version                      Repository      Size
    ===========================================================================================
    Updating:
     nss                       x86_64        3.21.3-2.el7_3               cr             850 k
    Updating for dependencies:
     nspr                      x86_64        4.11.0-1.el7_2               updates        126 k
     nss-softokn               x86_64        3.16.2.3-14.2.el7_2          updates        305 k
     nss-softokn-freebl        x86_64        3.16.2.3-14.2.el7_2          updates        204 k
     nss-sysinit               x86_64        3.21.3-2.el7_3               cr              55 k
     nss-tools                 x86_64        3.21.3-2.el7_3               cr             487 k
     nss-util                  x86_64        3.21.3-1.1.el7_3             cr              71 k
    
    Transaction Summary
    ===========================================================================================
    Upgrade  1 Package (+6 Dependent packages)
    
    Total download size: 2.0 M
    Is this ok [y/d/N]: y
    

    4.复查

    [root@bclinux yum.repos.d]# rpm -q nss
    nss-3.21.3-2.el7_3.x86_64
    

    5.重启应用
    安装升级包以后,重启应用,更新生效。

    BCLINX 6用户安装更新步骤如下:
    1.检查YUM源设置,确保使用的是BCLinux官方YUM源
    [root@bclinux ~]# ls -l /etc/yum.repos.d/

    total 12
    -rw-r--r--. 1 root root  969 Nov 16  2015 BCLinux-Base.repo
    -rw-r--r--. 1 root root 1053 Nov 16  2015 BCLinux-Source.repo
    -rw-r--r--. 1 root root 1184 Nov 16  2015 BigCloud.repo
    

    2.安装更新

    [root@host yum.repos.d]# yum update nss
    Loaded plugins: fastestmirror
    Loading mirror speeds from cached hostfile
    Setting up Update Process
    Resolving Dependencies
    --> Running transaction check
    ---> Package nss.x86_64 0:3.15.1-15.el6 will be updated
    --> Processing Dependency: nss = 3.15.1-15.el6 for package: nss-sysinit-3.15.1-15.el6.x86_64
    --> Processing Dependency: nss(x86-64) = 3.15.1-15.el6 for package: nss-tools-3.15.1-15.el6.x86_64
    ---> Package nss.x86_64 0:3.21.3-2.el6 will be an update
    --> Processing Dependency: nss-util >= 3.21.0 for package: nss-3.21.3-2.el6.x86_64
    --> Processing Dependency: nss-softokn(x86-64) >= 3.14.3-22 for package: nss-3.21.3-2.el6.x86_64
    --> Processing Dependency: nspr >= 4.11.0 for package: nss-3.21.3-2.el6.x86_64
    --> Processing Dependency: libnssutil3.so(NSSUTIL_3.21)(64bit) for package: nss-3.21.3-2.el6.x86_64
    --> Processing Dependency: libnssutil3.so(NSSUTIL_3.17.1)(64bit) for package: nss-3.21.3-2.el6.x86_64
    --> Running transaction check
    ---> Package nspr.x86_64 0:4.10.0-1.el6 will be updated
    ---> Package nspr.x86_64 0:4.11.0-1.el6 will be an update
    ---> Package nss-softokn.x86_64 0:3.14.3-9.el6 will be updated
    ---> Package nss-softokn.x86_64 0:3.14.3-23.3.el6 will be an update
    --> Processing Dependency: nss-softokn-freebl(x86-64) >= 3.14.3-23.3.el6 for package: nss-softokn-3.14.3-23.3.el6.x86_64
    ---> Package nss-sysinit.x86_64 0:3.15.1-15.el6 will be updated
    ---> Package nss-sysinit.x86_64 0:3.21.3-2.el6 will be an update
    ---> Package nss-tools.x86_64 0:3.15.1-15.el6 will be updated
    ---> Package nss-tools.x86_64 0:3.21.3-2.el6 will be an update
    ---> Package nss-util.x86_64 0:3.15.1-3.el6 will be updated
    ---> Package nss-util.x86_64 0:3.21.0-2.el6 will be an update
    --> Running transaction check
    ---> Package nss-softokn-freebl.x86_64 0:3.14.3-9.el6 will be updated
    ---> Package nss-softokn-freebl.x86_64 0:3.14.3-23.3.el6 will be an update
    --> Finished Dependency Resolution
    
    Dependencies Resolved
    
    ===============================================================================
     Package                 Arch        Version                Repository    Size
    ===============================================================================
    Updating:
     nss                     x86_64      3.21.3-2.el6           updates      858 k
    Updating for dependencies:
     nspr                    x86_64      4.11.0-1.el6           updates      113 k
     nss-softokn             x86_64      3.14.3-23.3.el6        updates      261 k
     nss-softokn-freebl      x86_64      3.14.3-23.3.el6        updates      167 k
     nss-sysinit             x86_64      3.21.3-2.el6           updates       46 k
     nss-tools               x86_64      3.21.3-2.el6           updates      436 k
     nss-util                x86_64      3.21.0-2.el6           updates       66 k
    
    Transaction Summary
    ===============================================================================
    Upgrade       7 Package(s)
    
    Total download size: 1.9 M
    Is this ok [y/N]: y
    

    3.复查

    [root@bclinux ~]# rpm -q nss
    nss-3.21.3-2.el6.x86_64
    

    4.重启应用
    安装升级包以后,重启应用,更新生效。

    外部链接

    1.BCLinux安全更新


登录后回复
 

与 BC-LINUX 的连接断开,我们正在尝试重连,请耐心等待