Informations de sécurité / 2016 / Informations sur la sécurité -- DSA-3688-1 nss

Bulletin d'alerte Debian

DSA-3688-1 nss -- Mise à jour de sécurité

Date du rapport :

5 octobre 2016

Paquets concernés :

nss

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le système de suivi des bogues Debian : Bogue 583651.
Dans le dictionnaire CVE du Mitre : CVE-2015-4000, CVE-2015-7181, CVE-2015-7182, CVE-2015-7575, CVE-2016-1938, CVE-2016-1950, CVE-2016-1978, CVE-2016-1979, CVE-2016-2834.

Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans NSS, la bibliothèque de chiffrement développée par le projet Mozilla.

• CVE-2015-4000

  David Adrian et al. ont signalé qu'il peut être possible d'attaquer des suites de chiffrement basées sur Diffie-Hellman dans certaines circonstances, compromettant la confidentialité et l'intégrité de données chiffrées avec Transport Layer Security (TLS).

• CVE-2015-7181 CVE-2015-7182 CVE-2016-1950

  Tyson Smith, David Keeler et Francis Gabriel ont découvert des dépassements de tas dans l'analyseur ASN.1 DER, menant éventuellement à l'exécution de code arbitraire.

• CVE-2015-7575

  Karthikeyan Bhargavan a découvert que l'implémentation du client TLS acceptait des signatures basées sur MD5 pour des connexions TLS 1.2 avec confidentialité persistante, affaiblissant la robustesse de sécurité attendue des connexions TLS.

• CVE-2016-1938

  Hanno Boeck a découvert que NSS ne calculait pas correctement le résultat de la division d'entiers pour certaines entrées. Cela pourrait affaiblir les protections de chiffrement offertes par NSS. Néanmoins, NSS met en œuvre le durcissement de RSA-CRT contre les fuites, ainsi les clés privées RSA ne sont pas directement exposées par ce problème.

• CVE-2016-1978

  Eric Rescorla a découvert une vulnérabilité d'utilisation de mémoire après libération dans l'implémentation des négociations de connexion TLS basées sur ECDH, avec des conséquences inconnues.

• CVE-2016-1979

  Tim Taubert a découvert une vulnérabilité d'utilisation de mémoire après libération dans le traitement d'ASN.1 DER, avec un impact spécifique à l'application.

• CVE-2016-2834

  Tyson Smith et Jed Davis ont découvert des bogues de sécurité de mémoire non spécifiés dans NSS.

En complément, la bibliothèque NSS n'ignorait pas les variables d'environnement dans les processus qui subissent une transition SUID/SGID/AT_SECURE au démarrage du processus. Dans certaines configurations du système, cela permet à des utilisateurs locaux d'augmenter leurs droits.

Cette mise à jour fournit en outre des corrections de stabilité et de validité sans impact de sécurité immédiat.

Pour la distribution stable (Jessie), ces problèmes ont été corrigés dans la version 2:3.26-1+debu8u1.

Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 2:3.23-1.

Nous vous recommandons de mettre à jour vos paquets nss.