Рекомендация Debian по безопасности

DSA-2994-1 nss -- обновление безопасности

Дата сообщения:
31.07.2014
Затронутые пакеты:
nss
Уязвим:
Да
Ссылки на базы данных по безопасности:
В каталоге Mitre CVE: CVE-2013-1741, CVE-2013-5606, CVE-2014-1491, CVE-2014-1492.
Более подробная информация:

В nss, библиотеке Mozilla Network Security Service, были обнаружены несколько уязвимостей:

  • CVE-2013-1741

    Проблема при работе с памятью при грамматическом разборе сертификата на 64-х битных компьютерах приводит к аварийному завершению работы из-за попытки записать 4Гб нулей.

  • CVE-2013-5606

    Проверка сертификата в режиме verifylog не возвращает ошибки проверки, но ожидает, что приложение само определит этот статус при присмотре журнала.

  • CVE-2014-1491

    Обход механизмов защиты при обработке билетов из-за отсутствия ограничения на публичные значения в рамках обмена ключей по протоколу Диффи-Хеллмана.

  • CVE-2014-1492

    Некорректный отбор по образцу доменных имён IDNA для шаблонных сертификатов может позволить использование специально сформированных сертификатов как корректных.

В стабильном выпуске (wheezy) эти проблемы были исправлены в версии 2:3.14.5-1+deb7u1.

В тестируемом (jessie) и нестабильном (sid) выпусках эти проблемы были исправлены в 2:3.16-1.

Рекомендуется обновить пакеты nss.