Säkerhetsbulletin från Debian

DSA-2994-1 nss -- säkerhetsuppdatering

Rapporterat den:
2014-07-31
Berörda paket:
nss
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Mitres CVE-förteckning: CVE-2013-1741, CVE-2013-5606, CVE-2014-1491, CVE-2014-1492.
Ytterligare information:

Flera sårbarheter har upptäckts i nss, biblioteket Mozilla Network Security Service:

  • CVE-2013-1741

    Skenande memset i certifikattolkning på 64-bitars maskiner leder till en krasch på grund av skrivning av 4Gb av nollor.

  • CVE-2013-5606

    Certifikatvalidering med verifylog-läget returnerar inte valideringsfel, utan istället väntade applikationer att avgöra status genom att titta på loggar.

  • CVE-2014-1491

    Förbigång av skydd för tickethantering på grund av brist på restriktioner av publika värden i nyckelbyten av typen Diffie-Hellman.

  • CVE-2014-1492

    Felaktiga IDNA domännamnsmatchningar för wildcardcertifikat kunde tillåta speciellt skapade ogiltiga certifikat att anses vara giltiga.

För den stabila utgåvan (Wheezy) har dessa problem rättats i version 2:3.14.5-1+deb7u1.

För uttestningsutgåvan (Jessie), och den instabila utgåvan (Sid), har dessa problem rättats i version 2:3.16-1.

Vi rekommenderar att ni uppgraderar era nss-paket.