Debians sikkerhedsbulletin
DSA-3336-1 nss -- sikkerhedsopdatering
- Rapporteret den:
- 17. aug 2015
- Berørte pakker:
- nss
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Mitres CVE-ordbog: CVE-2015-2721, CVE-2015-2730.
- Yderligere oplysninger:
-
Flere sårbarheder er opdaget i nss, biblioteket Mozilla Network Security Service. Projektet Common Vulnerabilities and Exposures har registreret følgende problemer:
- CVE-2015-2721
Karthikeyan Bhargavan opdagede at NSS på ukorrekt vis håndterede state-transitioner i den nye TLS-statemaskine. En manden i midten-angriber kunne udnytte fejlen til at springe over ServerKeyExchange-meddelelsen og fjerne forward-secrecy-egenskaben.
- CVE-2015-2730
Watson Ladd opdagede at NSS ikke på korrekt vis udførte Elliptical Curve Cryptography-multiplikation (ECC), hvilket gjorde det muligt for en fjernangriber, potentielt at forfalske ECDSA-signaturer.
I den gamle stabile distribution (wheezy), er disse problemer rettet i version 2:3.14.5-1+deb7u5.
I den stabile distribution (jessie), er disse problemer rettet i version 2:3.17.2-1.1+deb8u1.
I distributionen testing (stretch), er disse problemer rettet i version 2:3.19.1-1.
I den ustabile distribution (sid), er disse problemer rettet i version 2:3.19.1-1.
Vi anbefaler at du opgraderer dine nss-pakker.
- CVE-2015-2721