Informations de sécurité / 2014 / Informations sur la sécurité -- DSA-2994-1 nss

Bulletin d'alerte Debian

DSA-2994-1 nss -- Mise à jour de sécurité

Date du rapport :

31 juillet 2014

Paquets concernés :

nss

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2013-1741, CVE-2013-5606, CVE-2014-1491, CVE-2014-1492.

Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans nss, la bibliothèque Network Security Service de Mozilla :

• CVE-2013-1741

  Un emballement de memset dans l'analyse de certificats sur les machines 64 bits mène à un plantage en tentant d'écrire 4 Go de caractères nuls.

• CVE-2013-5606

  Une validation de certificat avec mode vérification de journal ne retourne pas les erreurs de validation, mais attend plutôt que les applications déterminent l'état en regardant dans le journal.

• CVE-2014-1491

  Contournement des mécanismes de protection de traitement de ticket à cause de l'absence de limitation des valeurs publiques dans les échanges de clés Diffie-Hellman.

• CVE-2014-1492

  Une correspondance incorrecte des noms de domaine IDNA pour les certificats multiples pourrait permettre à des certificats invalides, contrefaits pour l'occasion, d'être considérés comme valides.

Pour la distribution stable (Wheezy), ces problèmes ont été corrigés dans la version 2:3.14.5-1+deb7u1.

Pour la distribution testing (Jessie) et la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 2:3.16-1.

Nous vous recommandons de mettre à jour vos paquets nss.