LTS — Prise en charge à long terme de Debian / LTS — Informations de sécurité / 2023 / Informations sur la sécurité -- DLA-3327-1 nss

Bulletin d'alerte Debian

DLA-3327-1 nss -- Mise à jour de sécurité pour LTS

Date du rapport :

20 février 2023

Paquets concernés :

nss

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2020-6829, CVE-2020-12400, CVE-2020-12401, CVE-2020-12403, CVE-2023-0767.

Plus de précisions :

Plusieurs vulnérabilités de sécurité ont été découvertes dans nss, les bibliothèques du Network Security Service.

• CVE-2020-6829

  Lors de la multiplication de points scalaires par courbe elliptique, l’algorithme wNAF de multiplication de points était utilisé, qui faisait fuiter des informations partielles sur le nonce utilisé durant la génération de la signature. Avec une trace électromagnétique de quelques générations de signature, la clé privée pouvait être calculée.

• CVE-2020-12400

  Lors de la conversion de coordonnées projectives à affines, l’inversion modulaire n’était pas réalisée à temps constant, aboutissant à une possible attaque temporelle par canal auxiliaire.

• CVE-2020-12401

  Pendant la génération de signature ECDSA, le remplissage appliqué au nonce, conçu pour assurer une multiplication scalaire à temps constant, a été retiré, aboutissant à une exécution à temps variable dépendant des données du secret.

• CVE-2020-12403

  Un défaut a été découvert dans la façon dont CHACHA20-POLY1305 a été mis en œuvre dans NSS. Lors de l’utilisation de Chacha20 multi-part, il pouvait causer des lectures hors limites. Ce problème a été corrigé en désactivant explicitement ChaCha20 multi-part (qui ne fonctionnait pas correctement) et en forçant strictement la longueur des balises.

• CVE-2023-0767

  Christian Holler a découvert que le traitement incorrect d'attributs « Safe Bag » de PKCS #12 pouvait avoir pour conséquence l’exécution de code arbitraire lors du traitement d'un paquet de certificats PKCS #12 contrefaits pour l'occasion.

Pour Debian 10 Buster, ces problèmes ont été corrigés dans la version 2:3.42.1-1+deb10u6.

Nous vous recommandons de mettre à jour vos paquets nss.

Pour disposer d'un état détaillé sur la sécurité de nss, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/nss.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.