Bulletin d'alerte Debian

DLA-427-1 nss -- Mise à jour de sécurité pour LTS

Date du rapport :
24 février 2016
Paquets concernés :
nss
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2016-1938.
Plus de précisions :

La fonction s_mp_div dans NSS (Network Security Services) de Mozilla, avant la version 3.21, divise les nombres incorrectement, ce qui pourrait faciliter la casse des mécanismes de protection cryptographique par des attaquants distants, en exploitant l’utilisation de la fonction (1) mp_div ou (2) mp_exptmod.

Pour la distribution oldoldstable distribution (Squeeze), ce problème a été corrigé dans la version 3.12.8-1+squeeze14.

Nous vous recommandons de mettre à jour vos paquets nss.