Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 3 (09.09.2014):
Für die Distributionen Ubuntu 10.04 LTS, Ubuntu 12.04 LTS und Ubuntu 14.04
LTS sind Sicherheitsupdates erschienen.
Version 2 (09.09.2014):
Für Red Hat Enterprise Linux 4 Extended Life Cycle Support steht ein
Sicherheitsupdate zur Verfügung.
Version 1 (23.07.2014):
Neues Advisory

Betroffene Software:

Mozilla Network Security Services

Betroffene Plattformen:

Canonical Ubuntu Linux 10.04 Lts
Canonical Ubuntu Linux 12.04 Lts
Canonical Ubuntu Linux 14.04 Lts
Red Hat Enterprise Linux 4 Extended Life Cycle Support
Red Hat Enterprise Linux 5 Server
Red Hat Enterprise Linux 7
Red Hat Enterprise Linux Desktop 5 Client
Red Hat Enterprise Linux Desktop 5 Workstation/Client
Red Hat Enterprise Linux Server 5.6 Long Life
Red Hat Enterprise Linux Server 5.9 Long Life
Red Hat Enterprise Linux Server 5.9.z EUS
Red Hat Enterprise Linux Server 6.2 AUS
Red Hat Enterprise Linux Server 6.4 AUS
Red Hat Enterprise Linux Server 6.4.z EUS

Eine Schwachstelle in den Network Security Services ermöglicht einem
entfernten, nicht authentifizierten Angreifer beliebigen Programmcode zur
Ausführung zu bringen oder Denial-of-Service-Angriffe durchzuführen. Für
verschiedene Red Hat Enterprise Linux 5, 6 und 7 Produkte stehen
Sicherheitsupdates zur Verfügung.

Patch:

Red Hat Security Advisory RHSA-2014:0915-1

http://rhn.redhat.com/errata/RHSA-2014-0915.html

Patch:

Red Hat Security Advisory RHSA-2014:0916

http://rhn.redhat.com/errata/RHSA-2014-0916.html

Patch:

Red Hat Security Advisory RHSA-2014:1165

http://rhn.redhat.com/errata/RHSA-2014-1165.html

Patch:

Ubuntu Security Notice USN-2343-1

http://www.ubuntu.com/usn/usn-2343-1/

CVE-2014-1544: Use-after-free-Schwachstelle in Mozilla NSS ermöglicht
Ausführung von beliebigem Programmcode

Es besteht eine Use-after-free-Schwachstelle bei der Zertifikatsvalidierung
in Mozillas Network Security Services. Wenn das Scripting auf Nutzerseite
aktiviert ist, kann ein entfernter, nicht authentisierter Angreifer die
Schwachstelle dazu nutzen beliebigen Programmcode mit den Rechten des
Benutzers auszuführen oder die Anwendung zum Absturz zu bringen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-0953/

Red Hat Security Advisory RHSA-2014:0915-1:
http://rhn.redhat.com/errata/RHSA-2014-0915.html

Red Hat Security Advisory RHSA-2014:0916:
http://rhn.redhat.com/errata/RHSA-2014-0916.html

Schwachstelle CVE-2014-1544 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-1544

Red Hat Security Advisory RHSA-2014:1165:
http://rhn.redhat.com/errata/RHSA-2014-1165.html

Ubuntu Security Notice USN-2343-1:
http://www.ubuntu.com/usn/usn-2343-1/

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 2 (09.09.2014):
Für Red Hat Enterprise Linux 4 Extended Life Cycle Support steht ein
Sicherheitsupdate zur Verfügung.
Version 1 (23.07.2014):
Neues Advisory

Betroffene Software:

Mozilla Network Security Services

Betroffene Plattformen:

Red Hat Enterprise Linux 4 Extended Life Cycle Support
Red Hat Enterprise Linux 5 Server
Red Hat Enterprise Linux 7
Red Hat Enterprise Linux Desktop 5 Client
Red Hat Enterprise Linux Desktop 5 Workstation/Client
Red Hat Enterprise Linux Server 5.6 Long Life
Red Hat Enterprise Linux Server 5.9 Long Life
Red Hat Enterprise Linux Server 5.9.z EUS
Red Hat Enterprise Linux Server 6.2 AUS
Red Hat Enterprise Linux Server 6.4 AUS
Red Hat Enterprise Linux Server 6.4.z EUS

Eine Schwachstelle in den Network Security Services ermöglicht einem
entfernten, nicht authentifizierten Angreifer beliebigen Programmcode zur
Ausführung zu bringen oder Denial-of-Service-Angriffe durchzuführen. Für
verschiedene Red Hat Enterprise Linux 5, 6 und 7 Produkte stehen
Sicherheitsupdates zur Verfügung.

Patch:

Red Hat Security Advisory RHSA-2014:0915-1

http://rhn.redhat.com/errata/RHSA-2014-0915.html

Patch:

Red Hat Security Advisory RHSA-2014:0916

http://rhn.redhat.com/errata/RHSA-2014-0916.html

Patch:

Red Hat Security Advisory RHSA-2014:1165

http://rhn.redhat.com/errata/RHSA-2014-1165.html

CVE-2014-1544: Use-after-free-Schwachstelle in Mozilla NSS ermöglicht
Ausführung von beliebigem Programmcode

Es besteht eine Use-after-free-Schwachstelle bei der Zertifikatsvalidierung
in Mozillas Network Security Services. Wenn das Scripting auf Nutzerseite
aktiviert ist, kann ein entfernter, nicht authentisierter Angreifer die
Schwachstelle dazu nutzen beliebigen Programmcode mit den Rechten des
Benutzers auszuführen oder die Anwendung zum Absturz zu bringen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-0953/

Red Hat Security Advisory RHSA-2014:0915-1:
http://rhn.redhat.com/errata/RHSA-2014-0915.html

Red Hat Security Advisory RHSA-2014:0916:
http://rhn.redhat.com/errata/RHSA-2014-0916.html

Schwachstelle CVE-2014-1544 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-1544

Red Hat Security Advisory RHSA-2014:1165:
http://rhn.redhat.com/errata/RHSA-2014-1165.html

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.