Bulletin d'alerte Debian
DLA-354-1 nss -- Mise à jour de sécurité pour LTS
- Date du rapport :
- 29 novembre 2015
- Paquets concernés :
- nss
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans le dictionnaire CVE du Mitre : CVE-2015-7181, CVE-2015-7182.
- Plus de précisions :
-
Plusieurs vulnérabilités ont été découvertes dans nss, la bibliothèque de service de sécurité réseau de Mozilla. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants :
- CVE-2015-7181
La fonction sec_asn1d_parse_leaf restreint incorrectement l'accès à une structure de données indéterminée. Cela permet à des attaquants distants de provoquer un déni de service (plantage de l'application) ou éventuellement d'exécuter du code arbitraire grâce à des données OCTET STRING contrefaites, lié à un problème « use-after-poison » (« utilisation après empoisonnement »).
- CVE-2015-7182
Un dépassement de tampon de tas dans le décodeur ASN.1 permet à des attaquants distants de provoquer un déni de service (plantage de l'application) ou éventuellement d'exécuter du code arbitraire grâce à des données OCTET STRING contrefaites.
Pour la distribution oldoldstable (Squeeze), ces problèmes ont été corrigés dans la version 3.12.8-1+squeeze13.
Nous vous recommandons de mettre à jour vos paquets nss.
- CVE-2015-7181