Open Source im professionellen Einsatz

UPDATE: DFN-CERT-2017-0698 Mozilla Network Security Services (NSS): Eine Schwachstelle ermöglicht einen Denial-of-Service-Angriff [Linux][Fedora][RedHat][Netzwerk]

21.04.2017

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 3 (21.04.2017):
Für Fedora 24, 25 und 26 stehen Sicherheitsupdates in Form von
'nss-softokn-3.29.5-1.0'- und 'nss-util-3.29.5-1.0'-Paketen zur Verfügung.
Die Sicherheitsupdates für Fedora 24 und 26 sind im Status 'testing',
während sich dasjenige für Fedora 25 bereits im Status 'stable' befindet.
Version 2 (21.04.2017):
Für Oracle Linux 6 (i386, x86_64) und Oracle Linux 7 (x86_64) sowie Oracle
VM 3.3 und Oracle VM 3.4 stehen nun ebenfalls Backport-Sicherheitsupdates
in Form der Pakete 'nss' und 'nss-util' in der Version 3.28.4 bereit.
Version 1 (20.04.2017):
Neues Advisory

Betroffene Software:

Mozilla Network Security Services < 3.29.5


Betroffene Plattformen:

Oracle Linux 6
Oracle Linux 7
Oracle VM Server 3.3
Oracle VM Server 3.4
Red Hat Enterprise Linux 5
Red Hat Enterprise Linux Desktop 6
Red Hat Enterprise Linux Desktop 7
Red Hat Enterprise Linux HPC Node 6
Red Hat Enterprise Linux HPC Node 7
Red Hat Enterprise Linux HPC Node 7.2 EUS
Red Hat Enterprise Linux Server 5.9 Long Life
Red Hat Enterprise Linux Server 6
Red Hat Enterprise Linux Server 6.2 AUS
Red Hat Enterprise Linux Server 6.4 AUS
Red Hat Enterprise Linux Server 6.5 AUS
Red Hat Enterprise Linux Server 6.5 TUS
Red Hat Enterprise Linux Server 6.6 AUS
Red Hat Enterprise Linux Server 6.6 TUS
Red Hat Enterprise Linux Server 6.7.z EUS
Red Hat Enterprise Linux Server 7
Red Hat Enterprise Linux Server 7.2 AUS
Red Hat Enterprise Linux Server 7.2 EUS
Red Hat Enterprise Linux Server 7.2 TUS
Red Hat Enterprise Linux Server 7.3 TUS
Red Hat Enterprise Linux Workstation 6
Red Hat Enterprise Linux Workstation 7
Red Hat Fedora 24
Red Hat Fedora 25
Red Hat Fedora 26



Eine Schwachstelle in Mozilla Network Security Services (NSS) ermöglicht
einem entfernten, nicht authentisierten Angreifer die Durchführung eines
Denial-of-Service (DoS)-Angriffs und möglicherweise weitere nicht näher
spezifizierte Angriffe.

Red Hat stellt für die Red Hat Enterprise Linux 6 und 7 Produkte Desktop,
HPC Node, Server und Workstation sowie Server Telco Extended Update Support
7.3 Backport-Sicherheitsupdates in Form der Pakete 'nss' und 'nss-util' in
der Version 3.28.4 bereit.

Für Red Hat Enterprise Linux 5 Extended Lifecycle Support und Red Hat
Enterprise Linux Server 5.9 Long Life werden Sicherheitsupdate für 'nss'
bereitgestellt.

Und für die Red Hat Enterprise Linux Advanced Update Support (AUS) Produkte
Server 6.2, 6.4, 6.5, 6.6 und 7.2, die Telco Extended Update Support (TUS)
Produkte Server 6.5, 6.6 und 7.2 sowie die Extended Update Support (EUS)
Produkte HPC Node 7.2 und Server 6.7.z und 7.2 werden aktualisierte
'nss-util'-Pakete als Backport-Sicherheitsupdates bereitgestellt.


Patch:

Red Hat Security Advisory RHSA-2017:1100

<http://rhn.redhat.com/errata/RHSA-2017-1100.html>

Patch:

Red Hat Security Advisory RHSA-2017:1101

<http://rhn.redhat.com/errata/RHSA-2017-1101.html>

Patch:

Red Hat Security Advisory RHSA-2017:1102

<http://rhn.redhat.com/errata/RHSA-2017-1102.html>

Patch:

Red Hat Security Advisory RHSA-2017:1103

<http://rhn.redhat.com/errata/RHSA-2017-1103.html>

Patch:

Fedora Security Update FEDORA-2017-36c311deb3 (Fedora 26,
nss-softokn-3.29.5-1.0.fc26 nss-util-3.29.5-1.0.fc26)

<https://bodhi.fedoraproject.org/updates/FEDORA-2017-36c311deb3>

Patch:

Fedora Security Update FEDORA-2017-521b5e42a4 (Fedora 25,
nss-softokn-3.29.5-1.0.fc25 nss-util-3.29.5-1.0.fc25)

<https://bodhi.fedoraproject.org/updates/FEDORA-2017-521b5e42a4>

Patch:

Fedora Security Update FEDORA-2017-9042085060 (Fedora 24,
nss-softokn-3.29.5-1.0.fc24 nss-util-3.29.5-1.0.fc24)

<https://bodhi.fedoraproject.org/updates/FEDORA-2017-9042085060>

Patch:

Oracle Linux Security Advisory ELSA-2017-1100

<https://linux.oracle.com/errata/ELSA-2017-1100.html>

Patch:

Oracle VM Security Advisory OVMSA-2017-0065 (Oracle VM 3.3)

<https://oss.oracle.com/pipermail/oraclevm-errata/2017-April/000683.html>

Patch:

Oracle VM Security Advisory OVMSA-2017-0065 (Oracle VM 3.4)

<https://oss.oracle.com/pipermail/oraclevm-errata/2017-April/000682.html>


CVE-2017-5461: Schwachstelle in Network Security Services (NSS) ermöglicht
Denial-of-Service-Angriff

In der Network Security Services (NSS) Bibliothek besteht eine
Schwachstelle, weil bei Base64-Dekodierungsoperationen unzureichend
Pufferspeicher alloziert wird, wodurch ein Schreibzugriff auf
Speicherbereiche außerhalb der zulässigen Grenzen provoziert werden kann
(Out-of-Bounds Write). Ein entfernter, nicht authentisierter Angreifer kann
die Schwachstelle ausnutzen und die Anwendung zum Absturz bringen
(Denial-of-Service). Die Schwachstelle wird als kritisch eingestuft und
lässt sich möglicherweise für weitere Angriffe ausnutzen.


Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
<https://portal.cert.dfn.de/adv/DFN-CERT-2017-0698/>

Red Hat Security Advisory RHSA-2017:1100:
<http://rhn.redhat.com/errata/RHSA-2017-1100.html>

Red Hat Security Advisory RHSA-2017:1101:
<http://rhn.redhat.com/errata/RHSA-2017-1101.html>

Red Hat Security Advisory RHSA-2017:1102:
<http://rhn.redhat.com/errata/RHSA-2017-1102.html>

Red Hat Security Advisory RHSA-2017:1103:
<http://rhn.redhat.com/errata/RHSA-2017-1103.html>

Mozilla Foundation Security Advisory MFSA2017-10 (CVE-2017-5461):
<https://www.mozilla.org/en-US/security/advisories/mfsa2017-10/#CVE-2017-5461>

Schwachstelle CVE-2017-5461 (NVD):
<http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-5461>

Fedora Security Update FEDORA-2017-36c311deb3 (Fedora 26,
nss-softokn-3.29.5-1.0.fc26 nss-util-3.29.5-1.0.fc26):
<https://bodhi.fedoraproject.org/updates/FEDORA-2017-36c311deb3>

Fedora Security Update FEDORA-2017-521b5e42a4 (Fedora 25,
nss-softokn-3.29.5-1.0.fc25 nss-util-3.29.5-1.0.fc25):
<https://bodhi.fedoraproject.org/updates/FEDORA-2017-521b5e42a4>

Fedora Security Update FEDORA-2017-9042085060 (Fedora 24,
nss-softokn-3.29.5-1.0.fc24 nss-util-3.29.5-1.0.fc24):
<https://bodhi.fedoraproject.org/updates/FEDORA-2017-9042085060>

Oracle Linux Security Advisory ELSA-2017-1100:
<https://linux.oracle.com/errata/ELSA-2017-1100.html>

Oracle VM Security Advisory OVMSA-2017-0065 (Oracle VM 3.3):
<https://oss.oracle.com/pipermail/oraclevm-errata/2017-April/000683.html>

Oracle VM Security Advisory OVMSA-2017-0065 (Oracle VM 3.4):
<https://oss.oracle.com/pipermail/oraclevm-errata/2017-April/000682.html>


(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

Ausgabe 09/2017

Artikelserien und interessante Workshops aus dem Magazin können Sie hier als Bundle erwerben.