LTS — Prise en charge à long terme de Debian / LTS — Informations de sécurité / 2019 / Informations sur la sécurité -- DLA-1857-1 nss

Bulletin d'alerte Debian

DLA-1857-1 nss -- Mise à jour de sécurité pour LTS

Date du rapport :

20 juillet 2019

Paquets concernés :

nss

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2019-11719, CVE-2019-11729.

Plus de précisions :

Des vulnérabilités ont été découvertes dans nss, la bibliothèque du service Network Security Service de Mozilla.

• CVE-2019-11719

  Lecture hors limites lors de l’import de la clef privée curve25519

  Lors de l’import d’une clef privée curve25519 au format PKCS#8 avec des octets 0x00 au début, il est possible de déclencher une lecture hors limites dans la bibliothèque NSS (Network Security Service). Cela pourrait conduire à une divulgation d'informations.

• CVE-2019-11729

  Clefs publiques vides ou mal formées 256-ECDH pouvant déclencher une erreur de segmentation

  Des clefs publiques vides ou mal formées 256-ECDH pouvent déclencher une erreur de segmentation à cause de valeurs improprement vérifiées avant d’être copiées en mémoire et utilisées.

Pour Debian 8 Jessie, ces problèmes ont été corrigés dans la version 2:3.26-1+debu8u5.

Nous vous recommandons de mettre à jour vos paquets nss.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.