Red Hat セキュリティアドバイザリ 2016:0370 から：

1 つのセキュリティの問題を修正する更新済みの nss-util パッケージが、Red Hat Enterprise Linux 6 および 7 で現在利用可能です。

Red Hat 製品セキュリティは、この更新がセキュリティに及ぼす影響を重要として評価しています。詳細な重要度評価を示す Common Vulnerability Scoring System（CVSS）ベーススコアは「参照」セクションの CVE リンクで入手できます。

Network Security Services（NSS）は、セキュリティが有効なクライアントおよびサーバーのアプリケーションのクロスプラットフォーム開発をサポートするライブラリセットです。nss-util パッケージは NSS のユーティリティセットと Softoken モジュールを提供します。

NSS が特定の ASN.1 構造体を解析する方法で、ヒープベースのバッファオーバーフローの欠陥が見つかりました。攻撃者はこの欠陥を利用して、特別に細工された証明書を作成し、NSS により解析される際に、それをクラッシュさせるか、NSS ライブラリに対してコンパイルされたアプリケーションを実行しているユーザーの権限で、任意のコードを実行する可能性があります。
（CVE-2016-1950）

Red Hat は、この問題を報告してくれた Mozilla プロジェクトに感謝の意を表します。Upstream は、Francis Gabriel 氏を最初の報告者として認めます。

nss-util の全ユーザーは、バックポートされたパッチが含まれるこれらの更新済みパッケージへアップグレードし、この問題を修正することが推奨されます。更新を有効にするには、nss と nss-util　のライブラリにリンクされたすべてのアプリケーションを再起動するか、システムを再起動する必要があります。

検出

Oracle Linux 6/7：nss-util（ELSA-2016-0370）

high Nessus プラグイン ID 89769

バージョン 2.14