Säkerhetsbulletin från Debian
DSA-3336-1 nss -- säkerhetsuppdatering
- Rapporterat den:
- 2015-08-17
- Berörda paket:
- nss
- Sårbara:
- Ja
- Referenser i säkerhetsdatabaser:
- I Mitres CVE-förteckning: CVE-2015-2721, CVE-2015-2730.
- Ytterligare information:
-
Flera sårbarheter har upptäckts i nss, Mozilla Network Security Service library. Projektet Common Vulnerabilities and Exposures identifierar följande problem:
- CVE-2015-2721
Karthikeyan Bhargavan upptäckte att NSS felaktigt hanterar tillståndsövergångar för TLS-tillståndsmaskinen. En man-in-the-middle-angripare kunde exploatera denna brist för att skippa ServerKeyExchange-meddelandet och ta bort egenskapen forward-secrecy.
- CVE-2015-2730
Watson Ladd upptäckte att NSS inte utför Elliptical Curve Cryptography (ECC)-multiplikation ordentligt, vilket tillåter en fjärrangripare att potentiellt avslöja ECDSA-signaturer.
För den gamla stabila utgåvan (Wheezy) har dessa problem rättats i version 2:3.14.5-1+deb7u5.
För den stabila utgåvan (Jessie) har dessa problem rättats i version 2:3.17.2-1.1+deb8u1.
För uttestningsutgåvan (Stretch) har dessa problem rättats i version 2:3.19.1-1.
För den instabila utgåvan (Sid) har dessa problem rättats i version 2:3.19.1-1.
Vi rekommenderar att ni uppgraderar era nss-paket.
- CVE-2015-2721