DFN-CERT-2014-0985 Mozilla Network Security Services (NSS): Mehrere Schwachstellen erlauben einem entfernten Angreifer das Umgehen von Sicherheitsvorkehrungen [Linux][Debian]

DFN-CERT-2014-0985 Mozilla Network Security Services (NSS): Mehrere Schwachstellen erlauben einem entfernten Angreifer das Umgehen von Sicherheitsvorkehrungen [Linux][Debian]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Mozilla Network Security Services

Betroffene Plattformen:

Debian Linux 7.6 Wheezy
Debian Linux 8.0 Jessie

Mehrere Schwachstellen in den Mozilla Network Security Services ermöglichen
einem entfernten, nicht authentisierten Angreifer das Umgehen von
Sicherheitsvorkehrungen, Man-in-the-Middle- und Denial-of-Service-Angriffe
wie auch das Ausführen beliebigen Programmcodes.

Patch:

Debian Security Advisory DSA-2994-1

https://www.debian.org/security/2014/dsa-2994

CVE-2014-1492: Schwachstelle in Mozilla Network Security Services (NSS)

Es besteht ein Fehler in der “cert_TestHostName”-Funktion in
“lib/certdb/certdb.c” der Certificate-Checking-Implementation. Ein
entfernter, nicht authentifizierter Angreifer kann per
Man-in-the-Middle-Angriff gefälschte SSL-Zertifikate einschleusen.

CVE-2014-1491: Schwachstelle in Mozilla Network Security Services (NSS)

Die Mozilla Network Security Services (NSS) verwenden beim
Diffie-Hellman-Schlüsselaustausch nicht zugelassene Zahlen für den
öffentlichen DH-Wert. Dies macht es einem entfernten Angreifer einfacher,
die Schutzmechanismen beim Ticket-Handling zu umgehen, indem er selbst
gezielt Werte aussucht, die den kryptographischen Aufwand senken.

CVE-2013-5606: Schwachstelle in den Network Security Services (NSS)

Die Funktion CERT_VerifyCert() (aus: lib/certhigh/certvfy.c) aus der Network
Security Services (NSS) Bibliothek, die von Mozilla Produkten verwendet
wird, behandelt inkompatiblen Schlüsselgebrauch durch Zertifikate nicht
richtig und akzeptiert auch ungültige Zertifikate (gibt ‘SECSuccess’
zurück). Ein entfernter Angreifer kann diese Schwachstelle ausnutzen, um mit
einem manipulierten Zertifikat Zugangsbeschränkungen zu umgehen.

CVE-2013-1741: Integer-Überlauf in den Network Security Services (NSS)

Die Mozilla Network Security Services (NSS) enthalten einen
Integer-Überlauf. Ein entfernter, nicht authentifizierter Angreifer kann
diese Schwachstelle ausnutzen, um den Dienst zum Absturz oder beliebigen
Programmcode zur Ausführung zu bringen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-0985/

Schwachstelle CVE-2013-1741 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-1741

Schwachstelle CVE-2013-5606 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-5606

Schwachstelle CVE-2014-1491 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-1491

Schwachstelle CVE-2014-1492 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-1492

Debian Security Advisory DSA-2994-1:
https://www.debian.org/security/2014/dsa-2994

(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.

© COMPUTEC MEDIA GmbH
Nach oben