Bulletin d'alerte Debian

DSA-2790-1 nss -- Lecture de mémoire non initialisée

Date du rapport :
2 novembre 2013
Paquets concernés :
nss
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 726473.
Dans le dictionnaire CVE du Mitre : CVE-2013-1739.
Plus de précisions :

Un défaut a été découvert dans la façon dont la bibliothèque Network Security Service (nss) de Mozilla lit les données non initialisées lorsqu'un échec de déchiffrement s'est produit. Un attaquant distant pourrait utiliser ce défaut pour provoquer un déni de service (plantage d'application) dans les applications liées à la bibliothèque nss.

La distribution oldstable (Squeeze) n'est pas concernée par ce problème.

Pour la distribution stable (Wheezy), ce problème a été corrigé dans la version 2:3.14.4-1.

Les paquets de la distribution stable ont été mis à jour à la dernière version 3.14.4 de la bibliothèque pour inclure également la correction d'un bogue de régression pour un défaut affectant le cache de vérification de certificat de libpkix. De plus amples informations sont disponibles dans les notes de publication de la version 3.14.4 de nss.

Pour la distribution testing (Jessie), ce problème a été corrigé dans la version 2:3.15.2-1.

Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 2:3.15.2-1.

Nous vous recommandons de mettre à jour vos paquets nss.