1.修復的CVE ·CVE-2013-1739 描述：Mozilla Network Security Services（NSS）是美國Mozilla基金會開發的一個函數庫（網絡安全服務庫），它可跨平臺提供SSL、S/MIME和其他Internet安全標準支持。Mozilla NSS 3.15.2之前的版本中存在安全漏洞，該漏洞源于程序在執行讀操作之前沒有確保數據結構初始化。遠程攻擊者可利用該漏洞造成拒絕服務或產生其他影響。 ·CVE-2013-1740 描述：Mozilla Network Security Services（NSS）是美國Mozilla基金會開發的一個函數庫（網絡安全服務庫），它可跨平臺提供SSL、S/MIME和其他Internet安全標準支持。Mozilla NSS 3.15.3及之前的版本中的libssl軟件包中的sslsecur.c文件中的‘ssl_Do1stHandshake’函數中存在加密問題漏洞。當使用TLS False Start功能時，攻擊者可通過在握手期間使用任意X.509證書利用該漏洞實施中間人攻擊，欺騙SSL服務器。 ·CVE-2013-1741 描述：Mozilla Network Security Services（NSS）是美國Mozilla基金會開發的一個函數庫（網絡安全服務庫），它可跨平臺提供SSL、S/MIME和其他Internet安全標準支持。Mozilla NSS 3.15至3.15.2版本中存在整數溢出漏洞。遠程攻擊者可借助較大的‘size’值利用該漏洞造成拒絕服務或產生其他影響。 ·CVE-2013-5605 描述：Mozilla Network Security Services（NSS）是美國Mozilla基金會開發的一個函數庫（網絡安全服務庫），它可跨平臺提供SSL、S/MIME和其他Internet安全標準支持。Mozilla NSS 3.14.5之前的3.14版本和3.15.3之前的3.15版本中存在安全漏洞。遠程攻擊者可借助無效的握手數據包利用該漏洞造成拒絕服務或產生其他影響。 ·CVE-2013-5606 描述：Mozilla Network Security Services（NSS）是美國Mozilla基金會開發的一個函數庫（網絡安全服務庫），它可跨平臺提供SSL、S/MIME和其他Internet安全標準支持。Mozilla NSS 3.15.3之前的3.15版本中的lib/certhigh/certvfy.c文件中的‘CERT_VerifyCert’函數中存在安全漏洞，該漏洞源于當‘CERTVerifyLog’參數有效時，程序對不兼容的密鑰用法證書提供返回值。遠程攻擊者可通過提供特制的證書利用該漏洞繞過既定的訪問限制。 ·CVE-2013-5607 描述：Netscape Portable Runtime（NSPR）是一個跨平臺庫，它提供了類型定義、線程同步、時間處理等的API和類似于libc的函數，被用在服務應用程序中。NSPR 4.10.1及之前的版本中的‘PL_ArenaAllocate’函數中存在整數溢出漏洞。遠程攻擊者可借助特制的X.509證書利用該漏洞造成拒絕服務（應用程序崩潰）或產生其他影響。以下版本受到影響：Firefox 25.0及之前的版本，Firefox ESR 17.0至17.0.10版本和24.0至24.0.2，SeaMonkey 2.22及之前的版本。 ·CVE-2014-1490 描述：Mozilla Network Security Services（NSS）是美國Mozilla基金會開發的一個函數庫（網絡安全服務庫），它可跨平臺提供SSL、S/MIME和其他Internet安全標準支持。Mozilla NSS 3.15.3及之前的版本中的libssl中存在競爭條件漏洞。遠程攻擊者可利用該漏洞造成拒絕服務（釋放后重用），也可能執行任意代碼。以下版本受到影響：Mozilla Firefox 26.0及之前的版本，Firefox ESR 24.1.0至24.2版本，Thunderbird 24.2及之前的版本，SeaMonkey 2.24 beta1及之前的版本。 ·CVE-2014-1491 描述：Mozilla Network Security Services（NSS）是美國Mozilla基金會開發的一個函數庫（網絡安全服務庫），它可跨平臺提供SSL、S/MIME和其他Internet安全標準支持。Mozilla NSS 3.15.3及之前的版本中存在加密問題漏洞，該漏洞源于在Diffie-Hellman密鑰交換期間程序沒有限制使用公共的DH值。遠程攻擊者可通過使用某些值利用該漏洞繞過加密保護機制。以下版本受到影響：Mozilla Firefox 26.0及之前的版本，Firefox ESR 24.1.0至24.2版本，Thunderbird 24.2及之前的版本，SeaMonkey 2.24 beta1及之前的版本。 ·CVE-2014-1492 描述：Mozilla Network Security Services（NSS）是美國Mozilla基金會開發的一個函數庫（網絡安全服務庫），它可跨平臺提供SSL、S/MIME和其他Internet安全標準支持。Mozilla NSS 3.15及之前的版本的certificate-checking實現過程中的lib/certdb/certdb.c文件的‘cert_TestHostName’函數存在安全漏洞。攻擊者可借助特制的證書利用該漏洞欺騙SSL服務器。 ·CVE-2014-1544 描述：Mozilla Network Security Services（NSS）是美國Mozilla基金會開發的一個函數庫（網絡安全服務庫），它可跨平臺提供SSL、S/MIME和其他Internet安全標準支持。多款Mozilla產品中使用的NSS中libnss3.so文件的‘CERT_DestroyCertificate’函數存在釋放后重用漏洞，該漏洞源于程序從可信域中不正確的移除了NSSCertificate結構。遠程攻擊者可利用該漏洞執行任意代碼。以下版本受到影響：Firefox 30.0及之前版本，Firefox ESR 24.7之前的24.x版本和Thunderbird 24.6及之前版本。 ·CVE-2014-1545 描述：Netscape Portable Runtime（NSPR）是一個跨平臺庫，它提供了類型定義、線程同步、時間處理等的API和類似于libc的函數，被用在服務應用程序中。NSPR 4.10.5及之前的版本中的‘sprintf’和‘console’函數存在安全漏洞。遠程攻擊者可利用該漏洞執行任意代碼或造成拒絕服務（越邊界寫入）。 ·CVE-2014-1569 描述：Mozilla Network Security Services（NSS）是美國Mozilla基金會開發的一個函數庫（網絡安全服務庫），它可跨平臺提供SSL、S/MIME和其他Internet安全標準支持。Mozilla NSS 3.16.2.4之前版本和3.17.3之前3.17.x版本的lib/util/quickder.c文件中的‘definite_length_decoder’函數存在安全漏洞，該漏洞源于程序沒有正確處理ASN.1長度的DER編碼。遠程攻擊者可借助編碼中的超長字節序列利用該漏洞實施data-smuggling攻擊。 ·CVE-2015-7181 描述：Mozilla Firefox和Firefox ESR都是由美國Mozilla基金會開發。Firefox是一款開源Web瀏覽器；Firefox ESR是Firefox的一個延長支持版本。Mozilla Network Security Services（NSS）是一個函數庫（網絡安全服務庫），它可跨平臺提供SSL、S/MIME和其他Internet安全標準支持。Mozilla Firefox和Firefox ESR中使用的Mozilla NSS中的‘sec_asn1d_parse_leaf’函數存在安全漏洞，該漏洞源于程序沒有正確限制訪問數據結構體。遠程攻擊者可借助特制的OCTET STRING數據利用該漏洞造成拒絕服務（應用程序崩潰），或執行任意代碼。以下產品及版本受到影響：Mozilla Firefox 42.0.2及之前版本，Firefox ESR 38.4之前38.x版本，Mozilla NSS 3.19.2.0及之前版本，3.20.0版本。 ·CVE-2015-7182 描述：Mozilla Firefox和Firefox ESR都是由美國Mozilla基金會開發。Firefox是一款開源Web瀏覽器；Firefox ESR是Firefox的一個延長支持版本。Mozilla Network Security Services（NSS）是一個函數庫（網絡安全服務庫），它可跨平臺提供SSL、S/MIME和其他Internet安全標準支持。Firefox和Firefox ESR中使用的Mozilla NSS中的ASN.1解碼器中存在基于堆的緩沖區溢出漏洞。遠程攻擊者可借助特制的OCTET STRING數據利用該漏洞造成拒絕服務（應用程序崩潰），或執行任意代碼。以下產品及版本受到影響：Mozilla Firefox 42.0.2及之前版本，Firefox ESR 38.4之前38.x版本，Mozilla NSS 3.19.2.0及之前版本，3.20.0版本。 ·CVE-2015-7183 描述：Mozilla Firefox和Firefox ESR都是由美國Mozilla基金會開發。Firefox是一款開源Web瀏覽器；Firefox ESR是Firefox的一個延長支持版本。Mozilla Network Security Services（NSS）是一個函數庫（網絡安全服務庫），它可跨平臺提供SSL、S/MIME和其他Internet安全標準支持。Mozilla Firefox和Firefox ESR中使用的Mozilla NSS中的Netscape Portable Runtime(NSPR)中的PL_ARENA_ALLOCATE實現過程存在整數溢出漏洞。遠程攻擊者可利用該漏洞造成拒絕服務（內存損壞和應用程序崩潰），或執行任意代碼。以下產品及版本受到影響：Mozilla Firefox 42.0.2及之前版本，Firefox ESR 38.4之前38.x版本，Mozilla NSS 3.19.2.0及之前版本，3.20.0版本。 ·CVE-2016-1978 描述：Mozilla Firefox是美國Mozilla基金會開發的一款開源Web瀏覽器。Mozilla Network Security Services（NSS）是一個函數庫（網絡安全服務庫），它可跨平臺提供SSL、S/MIME和其他Internet安全標準支持。Mozilla Firefox 44.0之前版本中使用的Mozilla NSS 3.21之前版本的‘ssl3_HandleECDHServerKeyExchange’函數中存在釋放后重用漏洞，該漏洞源于程序在DHE和ECDHE握手期間沒有成功分配內存。遠程攻擊者可利用該漏洞造成拒絕服務。 ·CVE-2016-1979 描述：Mozilla Firefox是美國Mozilla基金會開發的一款開源Web瀏覽器。Mozilla Network Security Services（NSS）是一個函數庫（網絡安全服務庫），它可跨平臺提供SSL、S/MIME和其他Internet安全標準支持。Mozilla Firefox 45.0之前版本中使用的Mozilla NSS 3.21.1之前版本的‘PK11_ImportDERPrivateKeyInfoAndReturnKey’函數中存在釋放后重用漏洞。遠程攻擊者可借助帶有DER編碼的密鑰數據利用該漏洞造成拒絕服務。 2.受影響的軟件包 ·中標麒麟高級服務器操作系統 V6 ·x86_64架構: nspr、nspr-devel 3.軟件包修復版本 ·中標麒麟高級服務器操作系統 V6 (x86_64) nspr-4.13.1-1.el6或以上版本 nspr-devel-4.13.1-1.el6或以上版本 4.修復方法 方法一：配置源進行升級安裝 1.打開軟件包源配置文件，根據倉庫地址進行修改。 倉庫源地址： 中標麒麟高級服務器操作系統 V6 x86_64:https://update.cs2c.com.cn/NS/V6/V6.9/os/lic/base/x86_64/ 2.配置完成后執行更新命令進行升級，命令如下： yum update Packagename 方法二：下載安裝包進行升級安裝 通過軟件包地址下載軟件包，使用軟件包升級命令根據受影響的軟件包 列表進行升級安裝, 命令如下： yum install Packagename 3.升級完成后是否需要重啟服務或操作系統： CVE-2013-1739:需要重啟 nspr 以使漏洞修復生效。 CVE-2013-1740:需要重啟 nspr 以使漏洞修復生效。 CVE-2013-1741:需要重啟 nspr 以使漏洞修復生效。 CVE-2013-5605:需要重啟 nspr 以使漏洞修復生效。 CVE-2013-5606:需要重啟 nspr 以使漏洞修復生效。 CVE-2013-5607:需要重啟 nspr 以使漏洞修復生效。 CVE-2014-1490:需要重啟 nspr 以使漏洞修復生效。 CVE-2014-1491:需要重啟 nspr 以使漏洞修復生效。 CVE-2014-1492:需要重啟 nspr 以使漏洞修復生效。 CVE-2014-1544:需要重啟 nspr 以使漏洞修復生效。 CVE-2014-1545:需要重啟 nspr 以使漏洞修復生效。 CVE-2014-1569:需要重啟 nspr 以使漏洞修復生效。 CVE-2015-7181:需要重啟 nspr 以使漏洞修復生效。 CVE-2015-7182:需要重啟 nspr 以使漏洞修復生效。 CVE-2015-7183:需要重啟 nspr 以使漏洞修復生效。 CVE-2016-1978:需要重啟 nspr 以使漏洞修復生效。 CVE-2016-1979:需要重啟 nspr 以使漏洞修復生效。 5.軟件包下載地址 ·中標麒麟高級服務器操作系統 V6 nspr(x86_64)軟件包下載地址: https://update.cs2c.com.cn/NS/V6/V6.9/os/lic/base/x86_64/Packages/nspr-4.13.1-1.el6.i686.rpm https://update.cs2c.com.cn/NS/V6/V6.9/os/lic/base/x86_64/Packages/nspr-4.13.1-1.el6.x86_64.rpm https://update.cs2c.com.cn/NS/V6/V6.9/os/lic/base/x86_64/Packages/nspr-devel-4.13.1-1.el6.i686.rpm https://update.cs2c.com.cn/NS/V6/V6.9/os/lic/base/x86_64/Packages/nspr-devel-4.13.1-1.el6.x86_64.rpm 注：其他相關依賴包請到相同目錄下載 6.修復驗證 使用軟件包查詢命令，查看相關軟件包版本是否與修復版本一致，如果版本一致，則說明修復成功。 sudo rpm -qa | grep Packagename