Säkerhetsbulletin från Debian

DSA-3336-1 nss -- säkerhetsuppdatering

Rapporterat den:
2015-08-17
Berörda paket:
nss
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Mitres CVE-förteckning: CVE-2015-2721, CVE-2015-2730.
Ytterligare information:

Flera sårbarheter har upptäckts i nss, Mozilla Network Security Service library. Projektet Common Vulnerabilities and Exposures identifierar följande problem:

  • CVE-2015-2721

    Karthikeyan Bhargavan upptäckte att NSS felaktigt hanterar tillståndsövergångar för TLS-tillståndsmaskinen. En man-in-the-middle-angripare kunde exploatera denna brist för att skippa ServerKeyExchange-meddelandet och ta bort egenskapen forward-secrecy.

  • CVE-2015-2730

    Watson Ladd upptäckte att NSS inte utför Elliptical Curve Cryptography (ECC)-multiplikation ordentligt, vilket tillåter en fjärrangripare att potentiellt avslöja ECDSA-signaturer.

För den gamla stabila utgåvan (Wheezy) har dessa problem rättats i version 2:3.14.5-1+deb7u5.

För den stabila utgåvan (Jessie) har dessa problem rättats i version 2:3.17.2-1.1+deb8u1.

För uttestningsutgåvan (Stretch) har dessa problem rättats i version 2:3.19.1-1.

För den instabila utgåvan (Sid) har dessa problem rättats i version 2:3.19.1-1.

Vi rekommenderar att ni uppgraderar era nss-paket.