首頁>Server>source

我正在尝試解決一个安全漏洞-具體来說https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-17006.通用的解決方案是更新軟體包

  • nspr-0:4.21.0-1.el7
  • nss-0:3.44.0-7.el7_7
  • nss-softokn-0:3.44.0-8.el7_7
  • nss-softokn-freebl-0:3.44.0-8.el7_7
  • nss-sysinit-0:3.44.0-7.el7_7
  • nss-tools-0:3.44.0-7.el7_7
  • nss-util-0:3.44.0-4.el7_7

所以我尝試了標準的 yum update ,但似乎认為4.21是nspr的最新版本,並且已经安裝了.该漏洞直到4.25才修複.我尝試了Googling,至少在我發現的CentOS官方網站上,他们還认為4.21是最新版本。

但是-rpmfind.net列出了4.25和4.29版本,例如http://fr2.rpmfind.net/linux/RPM/centos/updates/7.9.2009/x86_64/Packages/nspr-4.25.0-2.el7_9.x86_64.html

對於我而言,開始使用rpmfind.net解決安全漏洞似乎很困难.我看不到CentOS(或RHEL)的正式作者如何簽名,所以按原樣使用它们是否安全? 有没有一種方法可以驗證作者/軟體包的發佈?

当OS供應商未通過程式包管理器發佈修複程式時,解決此類漏洞的"正確"方法是什麼?

最新回復
  • 7月前
    1 #

    您要查詢的更新已在RHEL 7.9中發佈. ,但CentOS(基於RHEL)尚未更新到7.9。

    如果您需要早期使用它,可以在 cr中获得下一个次要CentOS 7發行版的軟體包。 迴购。

    [[email protected] ~]# yum --enablerepo=cr update nspr nss
    Loaded plugins: fastestmirror
    Loading mirror speeds from cached hostfile
     * base: centos.mirror.vexxhost.com
     * extras: centos.mirror.vexxhost.com
     * updates: centos.mirror.vexxhost.com
    Resolving Dependencies
    --> Running transaction check
    ---> Package nspr.x86_64 0:4.21.0-1.el7 will be updated
    ---> Package nspr.x86_64 0:4.25.0-2.el7_9 will be an update
    ---> Package nss.x86_64 0:3.44.0-7.el7_7 will be updated
    --> Processing Dependency: nss = 3.44.0-7.el7_7 for package: nss-sysinit-3.44.0-7.el7_7.x86_64
    --> Processing Dependency: nss(x86-64) = 3.44.0-7.el7_7 for package: nss-tools-3.44.0-7.el7_7.x86_64
    ---> Package nss.x86_64 0:3.53.1-3.el7_9 will be an update
    --> Processing Dependency: nss-util >= 3.53.1-1 for package: nss-3.53.1-3.el7_9.x86_64
    --> Processing Dependency: nss-softokn(x86-64) >= 3.53.1-2 for package: nss-3.53.1-3.el7_9.x86_64
    --> Running transaction check
    ---> Package nss-softokn.x86_64 0:3.44.0-8.el7_7 will be updated
    ---> Package nss-softokn.x86_64 0:3.53.1-6.el7_9 will be an update
    --> Processing Dependency: nss-softokn-freebl(x86-64) >= 3.53.1-6.el7_9 for package: nss-softokn-3.53.1-6.el7_9.x86_64
    ---> Package nss-sysinit.x86_64 0:3.44.0-7.el7_7 will be updated
    ---> Package nss-sysinit.x86_64 0:3.53.1-3.el7_9 will be an update
    ---> Package nss-tools.x86_64 0:3.44.0-7.el7_7 will be updated
    ---> Package nss-tools.x86_64 0:3.53.1-3.el7_9 will be an update
    ---> Package nss-util.x86_64 0:3.44.0-4.el7_7 will be updated
    ---> Package nss-util.x86_64 0:3.53.1-1.el7_9 will be an update
    --> Running transaction check
    ---> Package nss-softokn-freebl.x86_64 0:3.44.0-8.el7_7 will be updated
    ---> Package nss-softokn-freebl.x86_64 0:3.53.1-6.el7_9 will be an update
    --> Finished Dependency Resolution
    Dependencies Resolved
    ================================================================================
     Package                   Arch          Version                Repository
                                                                               Size
    ================================================================================
    Updating:
     nspr                      x86_64        4.25.0-2.el7_9         cr        127 k
     nss                       x86_64        3.53.1-3.el7_9         cr        869 k
    Updating for dependencies:
     nss-softokn               x86_64        3.53.1-6.el7_9         cr        354 k
     nss-softokn-freebl        x86_64        3.53.1-6.el7_9         cr        322 k
     nss-sysinit               x86_64        3.53.1-3.el7_9         cr         65 k
     nss-tools                 x86_64        3.53.1-3.el7_9         cr        535 k
     nss-util                  x86_64        3.53.1-1.el7_9         cr         79 k
    Transaction Summary
    ================================================================================
    Upgrade  2 Packages (+5 Dependent packages)
    Total download size: 2.3 M
    Is this ok [y/d/N]:
    

  • openldap:LDAP模式物件類的多重繼承使我感到困惑
  • Varnish是否可以自動確定應使用哪種儲存介質来快取物件?