LTS — Prise en charge à long terme de Debian / LTS — Informations de sécurité / 2016 / Informations sur la sécurité -- DLA-676-1 nspr

Bulletin d'alerte Debian

DLA-676-1 nspr -- Mise à jour de sécurité pour LTS

Date du rapport :

25 octobre 2016

Paquets concernés :

nspr

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Aucune référence à une base de données externe en rapport avec la sécurité n'est actuellement disponible.

Plus de précisions :

Les bibliothèques de Network Security Service (NSS) utilisaient les variables d'environnement pour configurer beaucoup de choses dont certaines se réfèrent à des emplacements du système de fichiers. D'autres peuvent dégrader le fonctionnement de NSS de diverses manières, en imposant des modes de compatibilité, etc.

Précédemment, ces variables d'environnement n'étaient pas ignorées des binaires s'exécutant avec les droits de leur utilisateur. Cette version de NetScape Portable Runtime Library (NSPR) introduit une nouvelle API, PR_GetEnVSecure, pour traiter cela.

À la fois NSPR et NSS doivent être mis à niveau pour traiter ce problème.

Pour Debian 7 Wheezy, ces problèmes ont été corrigés dans la version 4.12-1+deb7u1 de NSPR.

Nous vous recommandons de mettre à jour vos paquets nspr.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.