1.修复的CVE ·CVE-2012-0441 描述：Mozilla Network Security Services（NSS）3.13.4之前版本的QuickDER解码器的ASN.1解码器，被用于Firefox 4.x至12.0版本，Firefox ESR 10.0.5之前的10.x版本，Thunderbird 5.0至12.0版本，Thunderbird ESR 10.0.5之前的10.x版本与SeaMonkey 2.10之前版本时存在漏洞。远程攻击者可利用该漏洞借助zero-length项目导致拒绝服务（应用程序崩溃），通过(1)zero-length基本约束或者(2)OCSP响应的zero-length字段所证明。 ·CVE-2013-0743 描述：Mozilla Mozilla Firefox是美国Mozilla基金会开发的一款开源Web浏览器。Mozilla Firefox、Thunderbird、SeaMonkey中存在多个安全漏洞。攻击者利用这些漏洞在执行任意脚本或HTML代码，窃取基于cookie认证证书，在受影响应用程序上下文中执行任意代码，将受影响应用程序崩溃，获得潜在的敏感信息，获得提升的权限，绕过安全限制，进而执行未授权操作，也可能存在其他攻击。以下版本中已修复：Firefox 18.0、Firefox ESR 10.0.12、Firefox ESR 17.0.2、Thunderbird 17.0.2、Thunderbird ESR 10.0.12、Thunderbird ESR 17.0.2 SeaMonkey 2.15版本。 ·CVE-2013-0791 描述：Mozilla Firefox、SeaMonkey和Thunderbird都是由美国Mozilla基金会开发。Firefox是一款开源Web浏览器。SeaMonkey是一套免费、开源以及跨平台的网络套装软件。Thunderbird是从Mozilla Application Suite中独立出来的一套电子邮件客户端软件。Mozilla Firefox 20.0之前版本，Firefox ESR 17.0.5之前的17.x版本，Thunderbird 17.0.5之前版本，Thunderbird ESR 17.0.5之前的17.x版本，SeaMonkey 2.17之前版本以及其它产品中的Mozilla Network Security Services(NSS)中的CERT_DecodeCertPackage函数中存在漏洞。远程攻击者可通过特制证书利用该漏洞造成拒绝服务（越界读取以及内存破坏）。 ·CVE-2013-1620 描述：Mozilla Network Security Services（NSS）是美国Mozilla基金会开发的一个函数库（网络安全服务库），它可跨平台提供SSL、S/MIME和其他Internet安全标准支持。Mozilla Network Security Services (NSS)中的TLS实现中存在漏洞，该漏洞源于程序在处理畸形的CBC填充期间没有正确地研究针对固执的MAC地址检查操作所进行的计时边信道攻击。通过对特制报文的计时数据的统计分析，远程攻击者可利用该漏洞实施区分攻击以及明文恢复攻击。 ·CVE-2013-1739 描述：Mozilla Network Security Services（NSS）是美国Mozilla基金会开发的一个函数库（网络安全服务库），它可跨平台提供SSL、S/MIME和其他Internet安全标准支持。Mozilla NSS 3.15.2之前的版本中存在安全漏洞，该漏洞源于程序在执行读操作之前没有确保数据结构初始化。远程攻击者可利用该漏洞造成拒绝服务或产生其他影响。 ·CVE-2013-1740 描述：Mozilla Network Security Services（NSS）是美国Mozilla基金会开发的一个函数库（网络安全服务库），它可跨平台提供SSL、S/MIME和其他Internet安全标准支持。Mozilla NSS 3.15.3及之前的版本中的libssl软件包中的sslsecur.c文件中的‘ssl_Do1stHandshake’函数中存在加密问题漏洞。当使用TLS False Start功能时，攻击者可通过在握手期间使用任意X.509证书利用该漏洞实施中间人攻击，欺骗SSL服务器。 ·CVE-2013-1741 描述：Mozilla Network Security Services（NSS）是美国Mozilla基金会开发的一个函数库（网络安全服务库），它可跨平台提供SSL、S/MIME和其他Internet安全标准支持。Mozilla NSS 3.15至3.15.2版本中存在整数溢出漏洞。远程攻击者可借助较大的‘size’值利用该漏洞造成拒绝服务或产生其他影响。 ·CVE-2013-5605 描述：Mozilla Network Security Services（NSS）是美国Mozilla基金会开发的一个函数库（网络安全服务库），它可跨平台提供SSL、S/MIME和其他Internet安全标准支持。Mozilla NSS 3.14.5之前的3.14版本和3.15.3之前的3.15版本中存在安全漏洞。远程攻击者可借助无效的握手数据包利用该漏洞造成拒绝服务或产生其他影响。 ·CVE-2013-5606 描述：Mozilla Network Security Services（NSS）是美国Mozilla基金会开发的一个函数库（网络安全服务库），它可跨平台提供SSL、S/MIME和其他Internet安全标准支持。Mozilla NSS 3.15.3之前的3.15版本中的lib/certhigh/certvfy.c文件中的‘CERT_VerifyCert’函数中存在安全漏洞，该漏洞源于当‘CERTVerifyLog’参数有效时，程序对不兼容的密钥用法证书提供返回值。远程攻击者可通过提供特制的证书利用该漏洞绕过既定的访问限制。 ·CVE-2013-5607 描述：Netscape Portable Runtime（NSPR）是一个跨平台库，它提供了类型定义、线程同步、时间处理等的API和类似于libc的函数，被用在服务应用程序中。NSPR 4.10.1及之前的版本中的‘PL_ArenaAllocate’函数中存在整数溢出漏洞。远程攻击者可借助特制的X.509证书利用该漏洞造成拒绝服务（应用程序崩溃）或产生其他影响。以下版本受到影响：Firefox 25.0及之前的版本，Firefox ESR 17.0至17.0.10版本和24.0至24.0.2，SeaMonkey 2.22及之前的版本。 ·CVE-2014-1490 描述：Mozilla Network Security Services（NSS）是美国Mozilla基金会开发的一个函数库（网络安全服务库），它可跨平台提供SSL、S/MIME和其他Internet安全标准支持。Mozilla NSS 3.15.3及之前的版本中的libssl中存在竞争条件漏洞。远程攻击者可利用该漏洞造成拒绝服务（释放后重用），也可能执行任意代码。以下版本受到影响：Mozilla Firefox 26.0及之前的版本，Firefox ESR 24.1.0至24.2版本，Thunderbird 24.2及之前的版本，SeaMonkey 2.24 beta1及之前的版本。 ·CVE-2014-1491 描述：Mozilla Network Security Services（NSS）是美国Mozilla基金会开发的一个函数库（网络安全服务库），它可跨平台提供SSL、S/MIME和其他Internet安全标准支持。Mozilla NSS 3.15.3及之前的版本中存在加密问题漏洞，该漏洞源于在Diffie-Hellman密钥交换期间程序没有限制使用公共的DH值。远程攻击者可通过使用某些值利用该漏洞绕过加密保护机制。以下版本受到影响：Mozilla Firefox 26.0及之前的版本，Firefox ESR 24.1.0至24.2版本，Thunderbird 24.2及之前的版本，SeaMonkey 2.24 beta1及之前的版本。 ·CVE-2014-1492 描述：Mozilla Network Security Services（NSS）是美国Mozilla基金会开发的一个函数库（网络安全服务库），它可跨平台提供SSL、S/MIME和其他Internet安全标准支持。Mozilla NSS 3.15及之前的版本的certificate-checking实现过程中的lib/certdb/certdb.c文件的‘cert_TestHostName’函数存在安全漏洞。攻击者可借助特制的证书利用该漏洞欺骗SSL服务器。 ·CVE-2014-1544 描述：Mozilla Network Security Services（NSS）是美国Mozilla基金会开发的一个函数库（网络安全服务库），它可跨平台提供SSL、S/MIME和其他Internet安全标准支持。多款Mozilla产品中使用的NSS中libnss3.so文件的‘CERT_DestroyCertificate’函数存在释放后重用漏洞，该漏洞源于程序从可信域中不正确的移除了NSSCertificate结构。远程攻击者可利用该漏洞执行任意代码。以下版本受到影响：Firefox 30.0及之前版本，Firefox ESR 24.7之前的24.x版本和Thunderbird 24.6及之前版本。 ·CVE-2014-1545 描述：Netscape Portable Runtime（NSPR）是一个跨平台库，它提供了类型定义、线程同步、时间处理等的API和类似于libc的函数，被用在服务应用程序中。NSPR 4.10.5及之前的版本中的‘sprintf’和‘console’函数存在安全漏洞。远程攻击者可利用该漏洞执行任意代码或造成拒绝服务（越边界写入）。 ·CVE-2014-1568 描述：Mozilla Network Security Services（NSS）是美国Mozilla基金会开发的一个函数库（网络安全服务库），它可跨平台提供SSL、S/MIME和其他Internet安全标准支持。多款Mozilla产品和基于Windows或OS X平台的Google Chrome和Google Chrome OS上使用的Mozilla NSS中存在安全漏洞，该漏洞源于程序没有正确解析X.509证书中的ASN.1值。远程者可通过特制的证书利用该漏洞伪造RSA签名。以下版本受到影响：Mozilla Firefox 32.0.3之前版本，Mozilla Firefox ESR 24.8.1之前24.x版本和31.1.1之前31.x版本，Mozilla Thunderbird 24.8.1之前版本和31.1.2之前31.x版本，Mozilla SeaMonkey 2.29.1之前版本，Google Chrome 37.0.2062.124之前版本，Google Chrome OS 37.0.2062.120之前版本，NSS 3.16.2.1之前版本，3.16.5之前3.16.x版本，3.17.1之前3.17.x版本。 ·CVE-2014-1569 描述：Mozilla Network Security Services（NSS）是美国Mozilla基金会开发的一个函数库（网络安全服务库），它可跨平台提供SSL、S/MIME和其他Internet安全标准支持。Mozilla NSS 3.16.2.4之前版本和3.17.3之前3.17.x版本的lib/util/quickder.c文件中的‘definite_length_decoder’函数存在安全漏洞，该漏洞源于程序没有正确处理ASN.1长度的DER编码。远程攻击者可借助编码中的超长字节序列利用该漏洞实施data-smuggling攻击。 ·CVE-2015-2721 描述：Mozilla Firefox、Firefox ESR和Thunderbird都是由美国Mozilla基金会开发。Firefox是一款开源Web浏览器；Firefox ESR是Firefox的一个延长支持版本；Thunderbird是从Mozilla Application Suite中独立出来的一套电子邮件客户端软件。Mozilla Network Security Services（NSS）是一个函数库（网络安全服务库），它可跨平台提供SSL、S/MIME和其他Internet安全标准支持。多款Mozilla产品中使用的Mozilla NSS中存在安全漏洞，该漏洞源于程序没有正确确定TLS状态机的状态转换。攻击者可利用该漏洞实施中间人攻击，破坏加密保护机制。以下产品及版本受到影响：Mozilla Firefox 39.0之前版本，Firefox ESR 31.8之前31.x版本和38.1之前38.x版本，Thunderbird 38.1之前版本，Mozilla NSS 3.19之前版本。 ·CVE-2015-4000 描述：TLS是IETF标准组织的一个传输层安全性协议，目的是为互联网通信提供安全及数据完整性保障。TLS协议1.2及之前版本中存在加密问题漏洞，该漏洞源于当服务器启用DHE_EXPORT密码套件时，程序没有正确传递DHE_EXPORT选项。攻击者可通过重写ClientHello（使用DHE_EXPORT取代DHE），然后重写ServerHello（使用DHE取代DHE_EXPORT），利用该漏洞实施中间人攻击和cipher-downgrade攻击。 ·CVE-2015-7181 描述：Mozilla Firefox和Firefox ESR都是由美国Mozilla基金会开发。Firefox是一款开源Web浏览器；Firefox ESR是Firefox的一个延长支持版本。Mozilla Network Security Services（NSS）是一个函数库（网络安全服务库），它可跨平台提供SSL、S/MIME和其他Internet安全标准支持。Mozilla Firefox和Firefox ESR中使用的Mozilla NSS中的‘sec_asn1d_parse_leaf’函数存在安全漏洞，该漏洞源于程序没有正确限制访问数据结构体。远程攻击者可借助特制的OCTET STRING数据利用该漏洞造成拒绝服务（应用程序崩溃），或执行任意代码。以下产品及版本受到影响：Mozilla Firefox 42.0.2及之前版本，Firefox ESR 38.4之前38.x版本，Mozilla NSS 3.19.2.0及之前版本，3.20.0版本。 ·CVE-2015-7182 描述：Mozilla Firefox和Firefox ESR都是由美国Mozilla基金会开发。Firefox是一款开源Web浏览器；Firefox ESR是Firefox的一个延长支持版本。Mozilla Network Security Services（NSS）是一个函数库（网络安全服务库），它可跨平台提供SSL、S/MIME和其他Internet安全标准支持。Firefox和Firefox ESR中使用的Mozilla NSS中的ASN.1解码器中存在基于堆的缓冲区溢出漏洞。远程攻击者可借助特制的OCTET STRING数据利用该漏洞造成拒绝服务（应用程序崩溃），或执行任意代码。以下产品及版本受到影响：Mozilla Firefox 42.0.2及之前版本，Firefox ESR 38.4之前38.x版本，Mozilla NSS 3.19.2.0及之前版本，3.20.0版本。 ·CVE-2015-7183 描述：Mozilla Firefox和Firefox ESR都是由美国Mozilla基金会开发。Firefox是一款开源Web浏览器；Firefox ESR是Firefox的一个延长支持版本。Mozilla Network Security Services（NSS）是一个函数库（网络安全服务库），它可跨平台提供SSL、S/MIME和其他Internet安全标准支持。Mozilla Firefox和Firefox ESR中使用的Mozilla NSS中的Netscape Portable Runtime(NSPR)中的PL_ARENA_ALLOCATE实现过程存在整数溢出漏洞。远程攻击者可利用该漏洞造成拒绝服务（内存损坏和应用程序崩溃），或执行任意代码。以下产品及版本受到影响：Mozilla Firefox 42.0.2及之前版本，Firefox ESR 38.4之前38.x版本，Mozilla NSS 3.19.2.0及之前版本，3.20.0版本。 ·CVE-2015-7575 描述：Mozilla Firefox和Mozilla Firefox ESR都是美国Mozilla基金会的产品。Mozilla Firefox是一款开源Web浏览器。Mozilla Firefox ESR是Firefox(Web浏览器)的一个延长支持版本。Mozilla Firefox和Firefox ESR中使用的Mozilla NSS中存在安全漏洞，该漏洞源于程序错误地接收TLS 1.2 Handshake Protocol流量中的Server Key Exchange消息中的MD5签名。攻击者可通过实施collision-based伪造攻击利用该漏洞实施中间人攻击，欺骗服务器。以下产品及版本受到影响：Mozilla Firefox 43.0.2之前版本，Firefox ESR 38.5.2之前38.x版本，NSS 3.20.2之前版本。 ·CVE-2016-1978 描述：Mozilla Firefox是美国Mozilla基金会开发的一款开源Web浏览器。Mozilla Network Security Services（NSS）是一个函数库（网络安全服务库），它可跨平台提供SSL、S/MIME和其他Internet安全标准支持。Mozilla Firefox 44.0之前版本中使用的Mozilla NSS 3.21之前版本的‘ssl3_HandleECDHServerKeyExchange’函数中存在释放后重用漏洞，该漏洞源于程序在DHE和ECDHE握手期间没有成功分配内存。远程攻击者可利用该漏洞造成拒绝服务。 ·CVE-2016-1979 描述：Mozilla Firefox是美国Mozilla基金会开发的一款开源Web浏览器。Mozilla Network Security Services（NSS）是一个函数库（网络安全服务库），它可跨平台提供SSL、S/MIME和其他Internet安全标准支持。Mozilla Firefox 45.0之前版本中使用的Mozilla NSS 3.21.1之前版本的‘PK11_ImportDERPrivateKeyInfoAndReturnKey’函数中存在释放后重用漏洞。远程攻击者可借助带有DER编码的密钥数据利用该漏洞造成拒绝服务。 ·CVE-2016-2834 描述：Mozilla Firefox是美国Mozilla基金会开发的一款开源Web浏览器。Network Security Services（NSS）是一个函数库（网络安全服务库），它可跨平台提供SSL、S/MIME和其他Internet安全标准支持。Mozilla Firefox 47之前版本中使用的NSS 3.23之前版本中存在安全漏洞。远程攻击者可利用该漏洞造成拒绝服务（内存损坏和应用程序崩溃）。 ·CVE-2016-5285 描述：Mozilla Network Security Services（NSS）是美国Mozilla基金会的一个函数库（网络安全服务库）。该产品可跨平台提供SSL、S/MIME和其他Internet安全标准支持。Mozilla NSS 3.26之前版本中存在代码问题漏洞。该漏洞源于K11_SignWithSymKey / ssl3_ComputeRecordMACConstantTime缺少空值检查。攻击者可利用该漏洞造成拒绝服务（服务器崩溃）。 ·CVE-2016-8635 描述：Mozilla Network Security Services（NSS）是美国Mozilla基金会开发的一个函数库（网络安全服务库），它可跨平台提供SSL、S/MIME和其他Internet安全标准支持。Mozilla NSS 3.21.x版本中对Diffie Hellman Client密钥更改的处理存在信息泄露漏洞。攻击者可利用该漏洞恢复私钥。 2.受影响的软件包 ·中标麒麟高级服务器操作系统 V6 ·x86_64架构: nss、nss-devel、nss-pkcs11-devel、nss-sysinit、nss-tools 3.软件包修复版本 ·中标麒麟高级服务器操作系统 V6 (x86_64) nss-3.27.1-13.el6或以上版本 nss-devel-3.27.1-13.el6或以上版本 nss-pkcs11-devel-3.27.1-13.el6或以上版本 nss-sysinit-3.27.1-13.el6或以上版本 nss-tools-3.27.1-13.el6或以上版本 4.修复方法 方法一：配置源进行升级安装 1.打开软件包源配置文件，根据仓库地址进行修改。 仓库源地址： 中标麒麟高级服务器操作系统 V6 x86_64:https://update.cs2c.com.cn/NS/V6/V6.9/os/lic/base/x86_64/ 2.配置完成后执行更新命令进行升级，命令如下： yum update Packagename 方法二：下载安装包进行升级安装 通过软件包地址下载软件包，使用软件包升级命令根据受影响的软件包 列表进行升级安装, 命令如下： yum install Packagename 3.升级完成后是否需要重启服务或操作系统： CVE-2012-0441:需要重启 nss 以使漏洞修复生效。 CVE-2013-0743:需要重启 nss 以使漏洞修复生效。 CVE-2013-0791:需要重启 nss 以使漏洞修复生效。 CVE-2013-1620:需要重启 nss 以使漏洞修复生效。 CVE-2013-1739:需要重启 nss 以使漏洞修复生效。 CVE-2013-1740:需要重启 nss 以使漏洞修复生效。 CVE-2013-1741:需要重启 nss 以使漏洞修复生效。 CVE-2013-5605:需要重启 nss 以使漏洞修复生效。 CVE-2013-5606:需要重启 nss 以使漏洞修复生效。 CVE-2013-5607:需要重启 nss 以使漏洞修复生效。 CVE-2014-1490:需要重启 nss 以使漏洞修复生效。 CVE-2014-1491:需要重启 nss 以使漏洞修复生效。 CVE-2014-1492:需要重启 nss 以使漏洞修复生效。 CVE-2014-1544:需要重启 nss 以使漏洞修复生效。 CVE-2014-1545:需要重启 nss 以使漏洞修复生效。 CVE-2014-1568:需要重启 nss 以使漏洞修复生效。 CVE-2014-1569:需要重启 nss 以使漏洞修复生效。 CVE-2015-2721:需要重启 nss 以使漏洞修复生效。 CVE-2015-4000:无需重启操作系统与服务即可使漏洞修复生效。 CVE-2015-7181:需要重启 nss 以使漏洞修复生效。 CVE-2015-7182:需要重启 nss 以使漏洞修复生效。 CVE-2015-7183:需要重启 nss 以使漏洞修复生效。 CVE-2015-7575:无需重启操作系统与服务即可使漏洞修复生效。 CVE-2016-1978:需要重启 nss 以使漏洞修复生效。 CVE-2016-1979:需要重启 nss 以使漏洞修复生效。 CVE-2016-2834:需要重启 nss 以使漏洞修复生效。 CVE-2016-5285:需要重启 nss 以使漏洞修复生效。 CVE-2016-8635:需要重启 nss 以使漏洞修复生效。 5.软件包下载地址 ·中标麒麟高级服务器操作系统 V6 nss(x86_64)软件包下载地址: https://update.cs2c.com.cn/NS/V6/V6.9/os/lic/base/x86_64/Packages/nss-3.27.1-13.el6.i686.rpm https://update.cs2c.com.cn/NS/V6/V6.9/os/lic/base/x86_64/Packages/nss-3.27.1-13.el6.x86_64.rpm https://update.cs2c.com.cn/NS/V6/V6.9/os/lic/base/x86_64/Packages/nss-devel-3.27.1-13.el6.i686.rpm https://update.cs2c.com.cn/NS/V6/V6.9/os/lic/base/x86_64/Packages/nss-devel-3.27.1-13.el6.x86_64.rpm https://update.cs2c.com.cn/NS/V6/V6.9/os/lic/base/x86_64/Packages/nss-pkcs11-devel-3.27.1-13.el6.i686.rpm https://update.cs2c.com.cn/NS/V6/V6.9/os/lic/base/x86_64/Packages/nss-pkcs11-devel-3.27.1-13.el6.x86_64.rpm https://update.cs2c.com.cn/NS/V6/V6.9/os/lic/base/x86_64/Packages/nss-sysinit-3.27.1-13.el6.x86_64.rpm https://update.cs2c.com.cn/NS/V6/V6.9/os/lic/base/x86_64/Packages/nss-tools-3.27.1-13.el6.x86_64.rpm 注：其他相关依赖包请到相同目录下载 6.修复验证 使用软件包查询命令，查看相关软件包版本是否与修复版本一致，如果版本一致，则说明修复成功。 sudo rpm -qa | grep Packagename