Bulletin d'alerte Debian

DLA-23-1 nss -- Mise à jour de sécurité pour LTS

Date du rapport :
31 juillet 2014
Paquets concernés :
nss
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2013-1741, CVE-2013-5606, CVE-2014-1491, CVE-2014-1492.
Plus de précisions :
  • CVE-2013-1741

    Un emballement de memset dans l'analyse de certificats sur les machines 64 bits mène à un plantage en tentant d'écrire 4 Go de caractères nuls.

  • CVE-2013-5606

    Une validation de certificat avec mode vérification de journal ne retourne pas les erreurs de validation, mais attend plutôt que les applications déterminent l'état en regardant dans le journal.

  • CVE-2014-1491

    Contournement des mécanismes de protection de traitement de ticket à cause de l'absence de limitation des valeurs publiques dans les échanges de clés Diffie-Hellman.

  • CVE-2014-1492

    Une correspondance incorrecte des noms de domaine IDNA pour les certificats multiples pourrait permettre à des certificats invalides, contrefaits pour l'occasion, d'être considérés comme valables.

Pour Debian 6 Squeeze, ces problèmes ont été corrigés dans la version 3.12.8-1+squeeze8 de nss.