Debians sikkerhedsbulletin

DSA-2790-1 nss -- læsning af uinitialiseret hukommelse

Rapporteret den:
2. nov 2013
Berørte pakker:
nss
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Debians fejlsporingssystem: Fejl 726473.
I Mitres CVE-ordbog: CVE-2013-1739.
Yderligere oplysninger:

En fejl blev fundet i den måde hvorpå Mozilla Network Security Service-biblioteket (nss) læste uinitialiserede data, når der var en dekrypteringsfejl. En fjernangriber kunne udnytte fejlen til at forårsage et lammelsesangreb (applikationsnedbrud) i applikationer, linket med nss-biblioteket.

Den gamle stabile distribution (squeeze) er ikke påvirket af dette problem.

I den stabile distribution (wheezy), er dette problem rettet i version 2:3.14.4-1.

Pakkerne i den stabile distribution blev opdateret til den seneste patchudgivelse 3.14.4 af biblioteket, til også at indeholde en regressionsrettelse af en fejl, der påvirkede libpkix' certificateverifikationscache. Flere oplysninger finder man via:

https://developer.mozilla.org/en-US/docs/NSS/NSS_3.14.4_release_notes

I distributionen testing (jessie), er dette problem rettet i version 2:3.15.2-1.

I den ustabile distribution (sid), er dette problem rettet i version 2:3.15.2-1.

Vi anbefaler at du opgraderer dine nss-pakker.