Bulletin d'alerte Debian

DSA-2994-1 nss -- Mise à jour de sécurité

Date du rapport :
31 juillet 2014
Paquets concernés :
nss
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2013-1741, CVE-2013-5606, CVE-2014-1491, CVE-2014-1492.
Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans nss, la bibliothèque Network Security Service de Mozilla :

  • CVE-2013-1741

    Un emballement de memset dans l'analyse de certificats sur les machines 64 bits mène à un plantage en tentant d'écrire 4 Go de caractères nuls.

  • CVE-2013-5606

    Une validation de certificat avec mode vérification de journal ne retourne pas les erreurs de validation, mais attend plutôt que les applications déterminent l'état en regardant dans le journal.

  • CVE-2014-1491

    Contournement des mécanismes de protection de traitement de ticket à cause de l'absence de limitation des valeurs publiques dans les échanges de clés Diffie-Hellman.

  • CVE-2014-1492

    Une correspondance incorrecte des noms de domaine IDNA pour les certificats multiples pourrait permettre à des certificats invalides, contrefaits pour l'occasion, d'être considérés comme valides.

Pour la distribution stable (Wheezy), ces problèmes ont été corrigés dans la version 2:3.14.5-1+deb7u1.

Pour la distribution testing (Jessie) et la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 2:3.16-1.

Nous vous recommandons de mettre à jour vos paquets nss.