Bulletin d'alerte Debian

DSA-3687-1 nspr -- Mise à jour de sécurité

Date du rapport :
5 octobre 2016
Paquets concernés :
nspr
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 583651.
Dans le dictionnaire CVE du Mitre : CVE-2016-1951.
Plus de précisions :

Deux vulnérabilités ont été signalées dans NSPR, une bibliothèque d'abstraction au-dessus de l'interface des systèmes d'exploitation développée par le projet Mozilla.

  • CVE-2016-1951

    q1 a signalé que l'implémentation de NSPR de la fonction de formatage de chaîne dans le style de sprintf ne calculait pas correctement les tailles d'allocation de mémoire, conduisant éventuellement à des dépassements de tas.

Le second problème concerne le traitement de variables d'environnement dans NSPR. La bibliothèque n'ignorait pas les variables d'environnement utilisées pour la configuration de la journalisation et le suivi des processus qui subissent une transition SUID/SGID/AT_SECURE au démarrage du processus. Dans certaines configurations du système, cela permet à des utilisateurs locaux d'augmenter leurs droits.

En complément, cette mise à jour de nspr fournit en outre des corrections de stabilité et de validité et contient le code de prise en charge pour une mise à jour à venir de nss.

Pour la distribution stable (Jessie), ces problèmes ont été corrigés dans la version 2:4.12-1+debu8u1.

Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 2:4.12-1.

Nous vous recommandons de mettre à jour vos paquets nspr.