Информация по безопасности / 2014 / Информация о безопасности -- DSA-2994-1 nss

Рекомендация Debian по безопасности

DSA-2994-1 nss -- обновление безопасности

Дата сообщения:

31.07.2014

Затронутые пакеты:

nss

Уязвим:

Да

Ссылки на базы данных по безопасности:

В каталоге Mitre CVE: CVE-2013-1741, CVE-2013-5606, CVE-2014-1491, CVE-2014-1492.

Более подробная информация:

В nss, библиотеке Mozilla Network Security Service, были обнаружены несколько уязвимостей:

• CVE-2013-1741

  Проблема при работе с памятью при грамматическом разборе сертификата на 64-х битных компьютерах приводит к аварийному завершению работы из-за попытки записать 4Гб нулей.

• CVE-2013-5606

  Проверка сертификата в режиме verifylog не возвращает ошибки проверки, но ожидает, что приложение само определит этот статус при присмотре журнала.

• CVE-2014-1491

  Обход механизмов защиты при обработке билетов из-за отсутствия ограничения на публичные значения в рамках обмена ключей по протоколу Диффи-Хеллмана.

• CVE-2014-1492

  Некорректный отбор по образцу доменных имён IDNA для шаблонных сертификатов может позволить использование специально сформированных сертификатов как корректных.

В стабильном выпуске (wheezy) эти проблемы были исправлены в версии 2:3.14.5-1+deb7u1.

В тестируемом (jessie) и нестабильном (sid) выпусках эти проблемы были исправлены в 2:3.16-1.

Рекомендуется обновить пакеты nss.