Sikkerhetsoppgraderinger for Red Hat Enterprise Linux

Publisert: 30.03.2016 | Sist endret: 11.01.2017

RHEL har publisert (08.03.16) sikkerhetsoppdateringer [1] til biblioteket NSS i RHEL-repoet. NSS, eller Network Security Services, består av pakkene "nss" og "nss-util".
Oppdateringene retter kritiske sårbarheter som kan føre til at angriper kan eksevere kode.

Detaljer
Sårbarheten ligger i måten NSS leser gjennom visse ASN.1-strukturer. Dette kan utnyttes ved at en angriper lager et spesielt utformet sertifikat som fører til at NSS enten stopper, eller kjører tilfeldig kode med de samme rettighetene tilhørende applikasjonen som inneholder NSS.

NSM NorCERT har ikke sett utnyttelse av sårbarhetene i Norge.

Påvirkede versjoner:

  • RHEL 5 Server
  • RHEL 6 Server
  • RHEL 6 Server

CVE-referanser:

CVE-2016-1950

NSM NorCERT anbefaler å oppdatere til NSS-pakkene:

  • nss-3.19.1-4.el5_11.src.rpm
  • nss-util-3.19.1-5.el6_7.src.rpm

Referanser

[1] https://access.redhat.com/security/cve/cve-2016-1950