Säkerhetsinformation / 2017 / Säkerhetsinformation -- DSA-3998-1 nss

Säkerhetsbulletin från Debian

DSA-3998-1 nss -- säkerhetsuppdatering

Rapporterat den:

2017-10-11

Berörda paket:

nss

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Mitres CVE-förteckning: CVE-2017-7805.

Ytterligare information:

Martin Thomson upptäckte att nss, biblioteket Mozilla Network Security Service, är sårbart för en användning efter frigörning i TLS 1.2-implementationen när handskakningshashar genereras. En fjärrangripare kan dra fördel av denna brist för att orsaka att en applikation som använder nss-biblioteket att krascha, vilket resulterar i överbelastning eller potentiellt exekvering av godtycklig kod.

För den gamla stabila utgåvan (Jessie) har detta problem rättats i version 2:3.26-1+debu8u3.

För den stabila utgåvan (Stretch) har detta problem rättats i version 2:3.26.2-1.1+deb9u1.

För uttestningsutgåvan (Buster) har detta problem rättats i version 2:3.33-1.

För den instabila distributionen (Sid) har detta problem rättats i version 2:3.33-1.

Vi rekommenderar att ni uppgraderar era nss-paket.