Aviso de seguridad de Debian
DSA-3998-1 nss -- actualización de seguridad
- Fecha del informe:
- 11 de oct de 2017
- Paquetes afectados:
- nss
- Vulnerable:
- Sí
- Referencias a bases de datos de seguridad:
- En el diccionario CVE de Mitre: CVE-2017-7805.
- Información adicional:
-
Martin Thomson descubrió que nss, la biblioteca de servicios de seguridad de red («Network Security Services») de Mozilla, es propensa a una vulnerabilidad de «uso tras liberar» en la implementación de TLS 1.2 cuando se generan hashes para la negociación («handshake»). Un atacante remoto puede aprovechar este defecto para provocar la caída de una aplicación que utilice la biblioteca nss, dando lugar a denegación de servicio o, potencialmente, a ejecución de código arbitrario.
Para la distribución «antigua estable» (jessie), este problema se ha corregido en la versión 2:3.26-1+debu8u3.
Para la distribución «estable» (stretch), este problema se ha corregido en la versión 2:3.26.2-1.1+deb9u1.
Para la distribución «en pruebas» (buster), este problema se ha corregido en la versión 2:3.33-1.
Para la distribución «inestable» (sid), este problema se ha corregido en la versión 2:3.33-1.
Le recomendamos que actualice los paquetes de nss.