Bulletin d'alerte Debian

DLA-971-1 nss -- Mise à jour de sécurité pour LTS

Date du rapport :
31 mai 2017
Paquets concernés :
nss
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 863839.
Dans le dictionnaire CVE du Mitre : CVE-2017-7502.
Plus de précisions :
  • CVE-2017-7502

    Une vulnérabilité de déréférencement de pointeur NULL dans NSS a été découverte quand le serveur reçoit des messages SSLv2 vides. Ce problème a été introduit avec la suppression récente du protocole SSLv2 du code de l’amont dans la version 3.24.0 et l’introduction d’un analyseur dédié capable de gérer seulement les messages hello de type SSLv2.

Pour Debian 7 Wheezy, ce problème a été corrigé dans la version 2:3.26-1+debu7u4.

Nous vous recommandons de mettre à jour vos paquets nss.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.