RHSA-2017:1100: nss and nss-util security update (Critical)
基本信息
标题:Mozilla Network Security Services 拒绝服务漏洞
CVSS分值:9.8
CVSS:CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
披露时间:2017-05-10
CVEID:CVE-2017-5461
简介:
Mozilla Network Security Services(NSS)是美国 Mozilla 基金会开发的一个函数库(网络安全服务库),它可跨平台提供 SSL、S/MIME 和其他 Internet 安全标准支持。
Mozilla NSS 中存在安全漏洞。远程攻击者可利用该漏洞造成拒绝服务(越边界写入)。
解决方案:
请直接在漏洞处理页面,选择对应服务器和漏洞,生成修复命令后,登录到服务器上运行即可。
参考链接:
http://www.securityfocus.com/bid/98050
https://bugzilla.mozilla.org/show_bug.cgi?id=1344380
https://developer.mozilla.org/en-US/docs/Mozilla/Projects/NSS/NSS_3.21.4_release_notes
说明
软件:3.21.0-2.el6
命中:nss-util version less than 0:3.28.4-1.el6_9
路径:/usr/lib64/libnssutil3.so
软件:3.21.0-8.el6
命中:nss version less than 0:3.28.4-1.el6_9
路径:/etc/pki/nssdb
软件:3.21.0-8.el6
命中:nss-sysinit version less than 0:3.28.4-1.el6_9
路径:/etc/pki/nssdb/cert9.db
软件:3.21.0-8.el6
命中:nss-tools version less than 0:3.28.4-1.el6_9
路径: /usr/bin/certutil
修复命令:
yum update nss-util
yum update nss
yum update nss-sysinit
yum update nss-tools
风险重要提醒(必读):
由于安骑士漏洞修复在测试中无法覆盖所有系统环境,进行漏洞补丁修复行为仍存在一定风险。为了防止出现不可预料的后果,建议您先通过控制台手动创建快照并自行搭建环境充分测试修复方案。
另请参考系统软件漏洞修复最佳实践: https://help.aliyun.com/knowledge_detail/56730.html