Säkerhetsinformation / 2016 / Säkerhetsinformation -- DSA-3688-1 nss

Säkerhetsbulletin från Debian

DSA-3688-1 nss -- säkerhetsuppdatering

Rapporterat den:

2016-10-05

Berörda paket:

nss

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Debians felrapporteringssystem: Fel 583651.
I Mitres CVE-förteckning: CVE-2015-4000, CVE-2015-7181, CVE-2015-7182, CVE-2015-7575, CVE-2016-1938, CVE-2016-1950, CVE-2016-1978, CVE-2016-1979, CVE-2016-2834.

Ytterligare information:

Flera sårbarheter har upptäckts i NSS, kryptografibiblioteket som utvecklats av Mozillaprojektet.

• CVE-2015-4000

  David Adrian och andra rapporterade att det kan vara möjligt att attackera Diffie-Hellman-baserade skifferuppsättningar under vissa omständigheter, och äventyra konfidentialitet och integritet av data som krypterats med Transport Layer Security (TLS).

• CVE-2015-7181 CVE-2015-7182 CVE-2016-1950

  Tyson Smith, David Keeler, och Francis Gabriel upptäckte heap-baserade buffertspill i ASN.1 DER-tolken, vilket potentiellt kan leda till exekvering av godtycklig kod.

• CVE-2015-7575

  Karthikeyan Bhargavan upptäckte att TLS-klientimplementationen accepterade MD5-signaturer för TLS 1.2-anslutningar med forward-sekretess, vilket försvagar den tänkta säkerhetsstyrkan i TLS-anslutningar.

• CVE-2016-1938

  Hanno Boeck upptäckte att NSS beräknade resultatet av heltalsdivision för viss indata felaktigt. Detta kunde försvaga de kryptografiska skydden som tillhandahålls av NSS. Dock så implementerar NSS RSA-CRT läckagehärdning, privata RSA-nycklar avslöjas inte direkt av detta problem.

• CVE-2016-1978

  Eric Rescorla upptäckte en sårbarhet för användning efter frigörning i implementationen av ECDH-baserade TLS-handskakningar, med okända konsekvenser.

• CVE-2016-1979

  Tim Taubert upptäckte ett problem med användning efter frigörning i ASN.1 DER-behandling, med applikationsspecifik inverkan.

• CVE-2016-2834

  Tyson Smith och Jed Davis upptäckte icke specificerade minnessäkerhetsfel i NSS.

Utöver detta ignorerar inte NSS-biblioteket miljövariabler i processer som genomgått en SUID/SGID/AT_SECURE-övergång vid processtart. I vissa systemkonfigurationer kan detta tillåta lokala användare att eskalera sina rättigheter.

Denna uppdataring innehåller ytterligare korrekthets- och stabilitetsrättningar utan direkt säkerhetspåverkan.

För den stabila utgåvan (Jessie) har dessa problem rättats i version 2:3.26-1+debu8u1.

För den instabila utgåvan (Sid) har dessa problem rättats i version 2:3.23-1.

Vi rekommenderar att ni uppgraderar era nss-paket.