Debians sikkerhedsbulletin

DSA-3687-1 nspr -- sikkerhedsopdatering

Rapporteret den:
5. okt 2016
Berørte pakker:
nspr
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Debians fejlsporingssystem: Fejl 583651.
I Mitres CVE-ordbog: CVE-2016-1951.
Yderligere oplysninger:

Der blev rapporteret om to sårbarheder i NSPR, et bibliotek til abstraktion over styresystemsgrænseflader, udviklet af Mozilla-projektet.

  • CVE-2016-1951

    q1 rapporterede at NSPR-implementeringen af strengformateringsfunktionen sprintf-style fejlbegregnede hukommelsesallokeringsstørrelser, potentielt førende til et heapbaseret bufferoverløb

Det andet problem vedrører behandlingen af miljøvariabler i NSPR. Biblioteket ignorerede ikke miljøvariabler, som anvendes til opsætning af logning og tracing i processer, som undergår en SUID/SGID/AT_SECURE-transition ved processtart. I visse systemopsætninger var det dermed muligt for lokale brugere at forøge deres rettigheder.

Desuden indeholder denne nspr-opdatering yderligere rettelser vedrørende stabilitet og korrekthed, og indeholder kode til understøttelse af en kommende nss-opdatering.

I den stabile distribution (jessie), er disse problemer rettet i version 2:4.12-1+debu8u1.

I den ustabile distribution (sid), er disse problemer rettet i version 2:4.12-1.

Vi anbefaler at du opgraderer dine nspr-pakker.