Bulletin d'alerte Debian

DLA-354-1 nss -- Mise à jour de sécurité pour LTS

Date du rapport :
29 novembre 2015
Paquets concernés :
nss
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2015-7181, CVE-2015-7182.
Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans nss, la bibliothèque de service de sécurité réseau de Mozilla. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants :

  • CVE-2015-7181

    La fonction sec_asn1d_parse_leaf restreint incorrectement l'accès à une structure de données indéterminée. Cela permet à des attaquants distants de provoquer un déni de service (plantage de l'application) ou éventuellement d'exécuter du code arbitraire grâce à des données OCTET STRING contrefaites, lié à un problème « use-after-poison » (« utilisation après empoisonnement »).

  • CVE-2015-7182

    Un dépassement de tampon de tas dans le décodeur ASN.1 permet à des attaquants distants de provoquer un déni de service (plantage de l'application) ou éventuellement d'exécuter du code arbitraire grâce à des données OCTET STRING contrefaites.

Pour la distribution oldoldstable (Squeeze), ces problèmes ont été corrigés dans la version 3.12.8-1+squeeze13.

Nous vous recommandons de mettre à jour vos paquets nss.