Рекомендация Debian по безопасности

DLA-315-1 nss -- обновление безопасности LTS

Дата сообщения:
27.09.2015
Затронутые пакеты:
nss
Уязвим:
Да
Ссылки на базы данных по безопасности:
В каталоге Mitre CVE: CVE-2015-2721, CVE-2015-2730.
Более подробная информация:

В nss, библиотеке Mozilla Network Security Service, было обнаружено несколько уязвимостей. Проект Common Vulnerabilities and Exposures определяет следующие проблемы:

  • CVE-2015-2721

    Картикеян Бхагаван обнаружил, что NSS неправильно обрабатывает переходы состояний для машины состояний TLS. Злоумышленник, использующий принцип человек-в-середине, может использовать данную проблему для того, чтобы пропустить сообщение ServerKeyExchange и удалить свойство forward-secrecy.

  • CVE-2015-2730

    Уотсон Лэдд обнаружил, что NSS неправильно выполняет умножение в шифровании с использованием эллиптических кривых (ECC), что позволяет удалённому злоумышленнику потенциально подделать подписи ECDSA.

В предыдущем старом стабильном выпуске (squeeze) эти проблемы были исправлены в версии 3.12.8-1+squeeze12.

Рекомендуется обновить пакеты nss.