Bulletin d'alerte Debian

DLA-480-1 nss -- Mise à jour de sécurité pour LTS

Date du rapport :
18 mai 2016
Paquets concernés :
nss
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2015-7181, CVE-2015-7182, CVE-2016-1938, CVE-2016-1950, CVE-2016-1978, CVE-2016-1979.
Plus de précisions :

Cette mise à jour de sécurité corrige de sérieux problèmes de sécurité dans NSS y compris des attaques d'exécution de code arbitraire et de déni de service distant.

Pour Debian 7 Wheezy, ces problèmes ont été corrigés dans la version 3.14.5-1+deb7u6. Nous vous recommandons de mettre à niveau vos paquets nss paquets dès que possible.

  • CVE-2015-7181

    La fonction sec_asn1d_parse_leaf ne restreint pas correctement l'accès une structure de données non précisée.

  • CVE-2015-7182

    Un dépassement de tas dans le décodeur ASN.1.

  • CVE-2016-1938

    La fonction s_mp_div dans lib/freebl/mpi/mpi.c ne divise pas correctement les nombres, ce qui pourrait faciliter pour des attaquants distants la casse des mécanismes de protection cryptographique.

  • CVE-2016-1950

    Un dépassement de tas permet à des attaquants distants d'exécuter du code arbitraire au moyen de données ASN.1 contrefaites dans un certificat X.509.

  • CVE-2016-1978

    Une vulnérabilité d'utilisation de mémoire après libération dans la fonction ssl3_HandleECDHServerKeyExchange permet à des attaquants distants de provoquer un déni de service ou d'avoir éventuellement un autre impact non précisé en réalisant une initialisation de connexion SSL (1) DHE ou (2) ECDHE à un moment de forte consommation de mémoire.

  • CVE-2016-1979

    Une vulnérabilité d'utilisation de mémoire après libération dans la fonction PK11_ImportDERPrivateKeyInfoAndReturnKey permet à des attaquants distants de provoquer un déni de service ou d'avoir éventuellement un autre impact non précisé au moyen de données de clé contrefaites avec un encodage DER.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.