Рекомендация Debian по безопасности

DLA-23-1 nss -- обновление безопасности LTS

Дата сообщения:
31.07.2014
Затронутые пакеты:
nss
Уязвим:
Да
Ссылки на базы данных по безопасности:
В каталоге Mitre CVE: CVE-2013-1741, CVE-2013-5606, CVE-2014-1491, CVE-2014-1492.
Более подробная информация:
  • CVE-2013-1741

    Отключение memset при грамматическом разборе сертификата на 64-битных компьютерах, приводящее к аварийной остановке при попытке записать 4ГБ нулей.

  • CVE-2013-5606

    Проверка сертификата в режиме verifylog не возвращает ошибки проверки, но ожидает, что приложения сами определят статус проверки, просматривая журнал.

  • CVE-2014-1491

    Обход механизмов защиты обработки билетов из-за отсутствия ограничений публичных значений при обмене ключами по алгоритму Диффи-Хеллмана.

  • CVE-2014-1492

    Некорректный подбор имени домена IDNA под шаблон сертификатов может привести к тому, что специально сформированные некорректные сертификаты будут считаться корректными.

В Debian 6 Squeeze эти проблемы были исправлены в пакете nss версии 3.12.8-1+squeeze8