Säkerhetsbulletin från Debian

DSA-3687-1 nspr -- säkerhetsuppdatering

Rapporterat den:
2016-10-05
Berörda paket:
nspr
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Debians felrapporteringssystem: Fel 583651.
I Mitres CVE-förteckning: CVE-2016-1951.
Ytterligare information:

Två sårbarheter har rapporterats i NSPR, ett bibliotek för att abstrahera över operativsystemgränssnitt utvecklade av Mozillaprojektet.

  • CVE-2016-1951

    q1 rapporterade att NSPR-implementationen av funktionen för strängformattering i sprintf-stil beräknade minnesallokeringsstorlekar fel vilket potentiellt kunde leda till heapbaserat buffertspill.

Andra problemet rör behandling av miljövariabler i NSPR. Biblioteket ignorerade inte miljövariabler som används till konfiguration av loggning och spårning i processer som genomgår en SUID/SGID/AT_SECURE-övergång vid processstart. I vissa systemkonfigurationer kunde detta tillåta lokala användare att öka sina rättigheter.

Utöver detta innehåller denna nspr-uppdatering ytterligare stabilitets- och korrekthetsrättelser och innehåller stödkod för en kommande nss-uppdatering.

För den stabila utgåvan (Jessie) har dessa problem rättats i version 2:4.12-1+debu8u1.

För den instabila utgåvan (Sid) har dessa problem rättats i version 2:4.12-1.

Vi rekommenderar att ni uppgraderar era nspr-paket.