Sikkerhedsoplysninger / 2016 / Sikkerhedsoplysninger -- DSA-3687-1 nspr

Debians sikkerhedsbulletin

DSA-3687-1 nspr -- sikkerhedsopdatering

Rapporteret den:

5. okt 2016

Berørte pakker:

nspr

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Debians fejlsporingssystem: Fejl 583651.
I Mitres CVE-ordbog: CVE-2016-1951.

Yderligere oplysninger:

Der blev rapporteret om to sårbarheder i NSPR, et bibliotek til abstraktion over styresystemsgrænseflader, udviklet af Mozilla-projektet.

• CVE-2016-1951

  q1 rapporterede at NSPR-implementeringen af strengformateringsfunktionen sprintf-style fejlbegregnede hukommelsesallokeringsstørrelser, potentielt førende til et heapbaseret bufferoverløb

Det andet problem vedrører behandlingen af miljøvariabler i NSPR. Biblioteket ignorerede ikke miljøvariabler, som anvendes til opsætning af logning og tracing i processer, som undergår en SUID/SGID/AT_SECURE-transition ved processtart. I visse systemopsætninger var det dermed muligt for lokale brugere at forøge deres rettigheder.

Desuden indeholder denne nspr-opdatering yderligere rettelser vedrørende stabilitet og korrekthed, og indeholder kode til understøttelse af en kommende nss-opdatering.

I den stabile distribution (jessie), er disse problemer rettet i version 2:4.12-1+debu8u1.

I den ustabile distribution (sid), er disse problemer rettet i version 2:4.12-1.

Vi anbefaler at du opgraderer dine nspr-pakker.