LTS — Prise en charge à long terme de Debian / LTS — Informations de sécurité / 2015 / Informations sur la sécurité -- DLA-354-1 nss

Bulletin d'alerte Debian

DLA-354-1 nss -- Mise à jour de sécurité pour LTS

Date du rapport :

29 novembre 2015

Paquets concernés :

nss

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2015-7181, CVE-2015-7182.

Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans nss, la bibliothèque de service de sécurité réseau de Mozilla. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants :

• CVE-2015-7181

  La fonction sec_asn1d_parse_leaf restreint incorrectement l'accès à une structure de données indéterminée. Cela permet à des attaquants distants de provoquer un déni de service (plantage de l'application) ou éventuellement d'exécuter du code arbitraire grâce à des données OCTET STRING contrefaites, lié à un problème « use-after-poison » (« utilisation après empoisonnement »).

• CVE-2015-7182

  Un dépassement de tampon de tas dans le décodeur ASN.1 permet à des attaquants distants de provoquer un déni de service (plantage de l'application) ou éventuellement d'exécuter du code arbitraire grâce à des données OCTET STRING contrefaites.

Pour la distribution oldoldstable (Squeeze), ces problèmes ont été corrigés dans la version 3.12.8-1+squeeze13.

Nous vous recommandons de mettre à jour vos paquets nss.