DFN-CERT-2016-1109 Network Security Services (NSS): Mehrere Schwachstellen ermöglichen u.a. Denial-of-Service-Angriffe [Linux]

DFN-CERT portal at dfn-cert.de
Tue Jul 12 09:40:02 CEST 2016


Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

  Mozilla Network Security Services < 3.23
  

Betroffene Plattformen:

  Canonical Ubuntu Linux 12.04 LTS
  Canonical Ubuntu Linux 14.04 LTS
  Canonical Ubuntu Linux 15.10
  Canonical Ubuntu Linux 16.04 LTS
  


Mehrere Schwachstellen in der Network Security Services Bibliothek, die
unter der ID CVE-2016-2834 zusammengefasst wurden, ermöglichen einem
entfernten, nicht authentifizierten Angreifer die Durchführung eines
Denial-of-Service-Angriffs sowie andere, nicht näher spezifizierte Angriffe,
welche neben der Verfügbarkeit, die Integrität und Vertraulichkeit des
Systems komplett beeinträchtigen können.

Canonical aktualisiert für die Distributionen Ubuntu 16.04 LTS, Ubuntu
15.10, Ubuntu 14.04 LTS und Ubuntu 12.04 LTS die Bibliothek auf die Version
3.23, um die Schwachstellen zu adressieren. 


Patch:

  Ubuntu Security Notice USN-3029-1

  <http://www.ubuntu.com/usn/usn-3029-1/>


CVE-2016-2834: Schwachstellen in Network Security Services ermöglichen nicht
  spezifizierte Angriffe

  Mehrere Schwachstellen in der von Mozilla Firefox genutzten Bibliothek
  Network Security Services (NSS) vor Version 3.23 basieren auf Fehlern in der
  Speicherverwaltung im Zusammenhang mit ungültigen UTF-16-Sequenzen, der
  Behandlung von UTF-16-Surrogates, der Längenermittlung bei der Umwandlung
  von UCS-2- zu UTF-8-Daten sowie der Dekodierung von DER-Ganzzahlen. 


Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
  <https://portal.cert.dfn.de/adv/DFN-CERT-2016-1109/>

Schwachstelle CVE-2016-2834 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-2834>

Ubuntu Security Notice USN-3029-1:
  <http://www.ubuntu.com/usn/usn-3029-1/>


(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.
-------------- next part --------------
A non-text attachment was scrubbed...
Name: smime.p7s
Type: application/pkcs7-signature
Size: 4686 bytes
Desc: not available
URL: <https://lists.cert.uni-stuttgart.de/pipermail/security-announce/attachments/20160712/32e9b350/attachment.bin>


More information about the Security-Announce mailing list