Säkerhetsbulletin från Debian
DSA-2994-1 nss -- säkerhetsuppdatering
- Rapporterat den:
- 2014-07-31
- Berörda paket:
- nss
- Sårbara:
- Ja
- Referenser i säkerhetsdatabaser:
- I Mitres CVE-förteckning: CVE-2013-1741, CVE-2013-5606, CVE-2014-1491, CVE-2014-1492.
- Ytterligare information:
-
Flera sårbarheter har upptäckts i nss, biblioteket Mozilla Network Security Service:
- CVE-2013-1741
Skenande memset i certifikattolkning på 64-bitars maskiner leder till en krasch på grund av skrivning av 4Gb av nollor.
- CVE-2013-5606
Certifikatvalidering med verifylog-läget returnerar inte valideringsfel, utan istället väntade applikationer att avgöra status genom att titta på loggar.
- CVE-2014-1491
Förbigång av skydd för tickethantering på grund av brist på restriktioner av publika värden i nyckelbyten av typen Diffie-Hellman.
- CVE-2014-1492
Felaktiga IDNA domännamnsmatchningar för wildcardcertifikat kunde tillåta speciellt skapade ogiltiga certifikat att anses vara giltiga.
För den stabila utgåvan (Wheezy) har dessa problem rättats i version 2:3.14.5-1+deb7u1.
För uttestningsutgåvan (Jessie), och den instabila utgåvan (Sid), har dessa problem rättats i version 2:3.16-1.
Vi rekommenderar att ni uppgraderar era nss-paket.
- CVE-2013-1741