Рекомендация Debian по безопасности

DLA-354-1 nss -- обновление безопасности LTS

Дата сообщения:
29.11.2015
Затронутые пакеты:
nss
Уязвим:
Да
Ссылки на базы данных по безопасности:
В каталоге Mitre CVE: CVE-2015-7181, CVE-2015-7182.
Более подробная информация:

В nss, библиотеке Mozilla Network Security Service, было обнаружено несколько уязвимостей. Проект Common Vulnerabilities and Exposures определяет следующие проблемы:

  • CVE-2015-7181

    Функция sec_asn1d_parse_leaf неправильно ограничивает доступ к неопределённым структурам данных, что позволяет удалённым злоумышленникам вызывать отказ в обслуживании (аварийная остановка приложения) или потенциально выполнять произвольный код с помощью специально сформированных данных OCTET STRING, что связано с проблемой использование после отравления.

  • CVE-2015-7182

    Переполнение динамической памяти в декодере ASN.1 позволяет удалённым злоумышленникам вызывать отказ в обслуживании (аварийная остановка приложения) или потенциально выполнять произвольный код с помощью специально сформированных данных OCTET STRING.

В предыдущем старом стабильном выпуске (squeeze) эти проблемы были исправлены в версии 3.12.8-1+squeeze13.

Рекомендуется обновить пакеты nss.