Информация по безопасности / 2017 / Информация о безопасности -- DSA-3998-1 nss

Рекомендация Debian по безопасности

DSA-3998-1 nss -- обновление безопасности

Дата сообщения:

11.10.2017

Затронутые пакеты:

nss

Уязвим:

Да

Ссылки на базы данных по безопасности:

В каталоге Mitre CVE: CVE-2017-7805.

Более подробная информация:

Мартин Томсон обнаружил, что nss, библиотека Mozilla Network Security Service, подвержена использованию указателей после освобождения памяти в коде реализации TLS 1.2 в момент создания хэшей рукопожатий. Удалённый злоумышленник может использовать эту уязвимость для аварийного завершения работы приложения, использующего библиотеку nss, что приводит к отказу в обслуживании или потенциальному выполнению произвольного кода.

В предыдущем стабильном выпуске (jessie) эта проблема была исправлена в версии 2:3.26-1+debu8u3.

В стабильном выпуске (stretch) эта проблема была исправлена в версии 2:3.26.2-1.1+deb9u1.

В тестируемом выпуске (buster) эта проблема была исправлена в версии 2:3.33-1.

В нестабильном выпуске (sid) эта проблема была исправлена в версии 2:3.33-1.

Рекомендуется обновить пакеты nss.