Bulletin d'alerte Debian

DLA-677-1 nss -- Mise à jour de sécurité pour LTS

Date du rapport :
25 octobre 2016
Paquets concernés :
nss
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Aucune référence à une base de données externe en rapport avec la sécurité n'est actuellement disponible.
Plus de précisions :

Les bibliothèques de Network Security Service (NSS) utilisaient les variables d'environnement pour configurer beaucoup de choses dont certaines se réfèrent à des emplacements du système de fichiers. D'autres peuvent dégrader le fonctionnement de NSS de diverses manières, en imposant des modes de compatibilité, etc.

Précédemment, ces variables d'environnement n'étaient pas ignorées des binaires s'exécutant avec les droits de leur utilisateur. Cette version de NetScape Portable Runtime Library (NSPR) introduit une nouvelle API, PR_GetEnVSecure, pour traiter cela.

À la fois NSPR et NSS doivent être mis à niveau pour traiter ce problème.

Pour Debian 7 Wheezy, ces problèmes ont été corrigés dans la version 3.26-1+debu7u1 de NSS.

Nous vous recommandons de mettre à jour vos paquets nss.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.