如何在CentOS 7上安装nspr 4.25？

Question

我正试图解决一个安全漏洞--特别是https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-17006。一般的解决方案是更新包。

• nspr-0:4.21.0-1.el7
• nss-0:3.44.0-7.el7
• nss-软令牌-0:3.44.0-8.el7_7
• 免费nss 0:3.44.0-8.el7_7
• nss-sysinit-0:3.44.0-7.el7_7
• nss-工具-0:3.44.0-7.el7
• nss-util-0:3.44.0-4.el7

所以我尝试了标准的yum update，但这似乎认为4.21是nspr的最新版本，而且已经安装好了。该漏洞直到4.25才修复。我试着在谷歌上搜索，至少在我发现的官方CentOS网站上，他们也相信4.21是最新版本。

然而- rpmfind.net列出了4.25和4.29版本，例如http://fr2.rpmfind.net/linux/RPM/centos/updates/7.9.2009/x86_64/货包/nspr-4.25.0-2.el7_9.x86_64.html

在我看来，开始用rpmfind.net解决安全漏洞是不明智的。我看不出官方的CentOS (或RHEL)作者是如何签署这些文件的，那么这些是否安全呢？是否有一种方法来验证作者/包发行版？

当OS供应商没有通过包管理器发布修补程序时，解决这种漏洞的“正确”方法是什么？

Answer 1

正在寻找的更新信息是在RHEL7.9中发布的，但是CentOS (基于RHEL)还没有更新到7.9。

如果您需要早期访问它，您可以为下一个CentOS 7版本在这个cr存储库中获得包。

[root@vmtest-centos7 ~]# yum --enablerepo=cr update nspr nss
Loaded plugins: fastestmirror
Loading mirror speeds from cached hostfile
 * base: centos.mirror.vexxhost.com
 * extras: centos.mirror.vexxhost.com
 * updates: centos.mirror.vexxhost.com
Resolving Dependencies
--> Running transaction check
---> Package nspr.x86_64 0:4.21.0-1.el7 will be updated
---> Package nspr.x86_64 0:4.25.0-2.el7_9 will be an update
---> Package nss.x86_64 0:3.44.0-7.el7_7 will be updated
--> Processing Dependency: nss = 3.44.0-7.el7_7 for package: nss-sysinit-3.44.0-7.el7_7.x86_64
--> Processing Dependency: nss(x86-64) = 3.44.0-7.el7_7 for package: nss-tools-3.44.0-7.el7_7.x86_64
---> Package nss.x86_64 0:3.53.1-3.el7_9 will be an update
--> Processing Dependency: nss-util >= 3.53.1-1 for package: nss-3.53.1-3.el7_9.x86_64
--> Processing Dependency: nss-softokn(x86-64) >= 3.53.1-2 for package: nss-3.53.1-3.el7_9.x86_64
--> Running transaction check
---> Package nss-softokn.x86_64 0:3.44.0-8.el7_7 will be updated
---> Package nss-softokn.x86_64 0:3.53.1-6.el7_9 will be an update
--> Processing Dependency: nss-softokn-freebl(x86-64) >= 3.53.1-6.el7_9 for package: nss-softokn-3.53.1-6.el7_9.x86_64
---> Package nss-sysinit.x86_64 0:3.44.0-7.el7_7 will be updated
---> Package nss-sysinit.x86_64 0:3.53.1-3.el7_9 will be an update
---> Package nss-tools.x86_64 0:3.44.0-7.el7_7 will be updated
---> Package nss-tools.x86_64 0:3.53.1-3.el7_9 will be an update
---> Package nss-util.x86_64 0:3.44.0-4.el7_7 will be updated
---> Package nss-util.x86_64 0:3.53.1-1.el7_9 will be an update
--> Running transaction check
---> Package nss-softokn-freebl.x86_64 0:3.44.0-8.el7_7 will be updated
---> Package nss-softokn-freebl.x86_64 0:3.53.1-6.el7_9 will be an update
--> Finished Dependency Resolution

Dependencies Resolved

================================================================================
 Package                   Arch          Version                Repository
                                                                           Size
================================================================================
Updating:
 nspr                      x86_64        4.25.0-2.el7_9         cr        127 k
 nss                       x86_64        3.53.1-3.el7_9         cr        869 k
Updating for dependencies:
 nss-softokn               x86_64        3.53.1-6.el7_9         cr        354 k
 nss-softokn-freebl        x86_64        3.53.1-6.el7_9         cr        322 k
 nss-sysinit               x86_64        3.53.1-3.el7_9         cr         65 k
 nss-tools                 x86_64        3.53.1-3.el7_9         cr        535 k
 nss-util                  x86_64        3.53.1-1.el7_9         cr         79 k

Transaction Summary
================================================================================
Upgrade  2 Packages (+5 Dependent packages)

Total download size: 2.3 M
Is this ok [y/d/N]: