Bulletin d'alerte Debian

DLA-154-1 nss -- Mise à jour de sécurité pour LTS

Date du rapport :
16 février 2015
Paquets concernés :
nss
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 773625.
Dans le dictionnaire CVE du Mitre : CVE-2011-3389, CVE-2014-1569.
Plus de précisions :

nss 3.12.8-1+squeeze11 corrige deux problèmes de sécurité :

  • CVE-2011-3389

    Les connexions SSL 3.0 et TLS 1.0 étaient vulnérables à certaines attaques à texte clair choisi (« chosen-plaintext ») qui permettaient à un attaquant de type « homme du milieu » d'obtenir des en-têtes HTTP en texte clair dans une session HTTPS. Ce problème est connu sous le nom d'attaque BEAST.

  • CVE-2014-1569

    Possible fuite d'informations avec un décodage trop permissif de longueurs d'ASN.1 DER.

Pour Debian 6 Squeeze, ces problèmes ont été corrigés dans nss version 3.12.8-1+squeeze11