Säkerhetsbulletin från Debian

DSA-2790-1 nss -- läsning av oinitierat minne

Rapporterat den:
2013-11-02
Berörda paket:
nss
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Debians felrapporteringssystem: Fel 726473.
I Mitres CVE-förteckning: CVE-2013-1739.
Ytterligare information:

Ett problem har upptäckts i sättet som biblioteket Mozilla Network Security Service (nss) läser oinitierad data när det uppkommer dekrypterinsfel. En fjärrangripare kunde använda detta problem för att orsaka en överbelastning (programkrasch) för program som länkar med nss-biblioteket.

Den gamla stabila utgåvan (Squeeze) påverkas inte av detta problem.

För den stabila utgåvan (Wheezy) har detta problem rättats i version 2:3.14.4-1.

Paketen i den stabila utgåvan har uppdaterats till den senaste patchutgåvan 3.14.4 av biblioteket så att de även inkluderar en felrättelse för ett regressionsproblem som påverkar certifikationsverifieringscachen i libpkix. Mer information kan hittas på:

https://developer.mozilla.org/en-US/docs/NSS/NSS_3.14.4_release_notes

För uttestningsutgåvan (Jessie) har detta problem rättats i version 2:3.15.2-1.

För den instabila utgåvan (Sid) har detta problem rättats i version 2:3.15.2-1.

Vi rekommenderar att ni uppgraderar era nss-paket.