DFN-CERT-2014-1254 Mozilla Network Security Services: Eine Schwachstelle ermöglicht das Umgehen von Sicherheitsvorkehrungen [Linux][Windows]

DFN-CERT-2014-1254 Mozilla Network Security Services: Eine Schwachstelle ermöglicht das Umgehen von Sicherheitsvorkehrungen [Linux][Windows]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Google Chrome < 37.0.2062.124 Mozilla Firefox <= 32.0.2 Mozilla Firefox ESR <= 24.8 Mozilla Firefox ESR <= 31.1 Mozilla Network Security Services <= 3.16.2 Mozilla Network Security Services <= 3.16.4 Mozilla Network Security Services <= 3.17 Mozilla SeaMonkey <= 2.29 Mozilla Thunderbird <= 24.8 Mozilla Thunderbird <= 31.1.1 Betroffene Plattformen: Apple Mac OS Canonical Ubuntu Linux 10.04 Lts Canonical Ubuntu Linux 12.04 Lts Canonical Ubuntu Linux 14.04 Lts GNU/Linux Microsoft Windows Durch eine Schwachstelle in Mozilla Network Security Services kann ein entfernter, nicht authentifizierter Angreifer RSA-Zertifikate fälschen und somit Sicherheitsvorkehrungen umgehen und Informationen ausspähen. Mozilla stellt zur Behebung der Schwachstelle folgende Sicherheitsupdates bereit: Firefox 32.0.3, Firefox ESR 24.8.1, Firefox ESR 31.1.1, Thunderbird 31.1.2, Thunderbird 24.8.1, SeaMonkey 2.29.1, NSS 3.16.2.1, NSS 3.16.5 und NSS 3.17.1. Google stellt für Windows und Mac OS X die Chrome Version 37.0.2062.124 bereit. Und Canonical stellt für Ubuntu 10.04 LTS, Ubuntu 12.04 LTS und Ubuntu 14.04 LTS Sicherheitspatches zur Verfügung. Patch: Chrome-ADV-Wednesday, September 24, 2014 http://googlechromereleases.blogspot.de/2014/09/stable-channel-update_24.html

Patch:

Mozilla Foundation Security Advisory MFSA 2014-73

http://www.mozilla.org/security/announce/2014/mfsa2014-73.html

Patch:

Ubuntu Security Notice USN-2360-1

http://www.ubuntu.com/usn/usn-2360-1/

Patch:

Ubuntu Security Notice USN-2360-2

http://www.ubuntu.com/usn/usn-2360-2/

Patch:

Ubuntu Security Notice USN-2361-1

http://www.ubuntu.com/usn/usn-2361-1/

CVE-2014-1568: Schwachstelle in Mozilla Network Security Services ermöglicht
das Umgehen von Sicherheitsvorkehrungen

Es existiert eine Schwachstelle in der Network Security Services (NSS)
Bibliothek, die das Fälschen von RSA-Zertifikaten ermöglicht. Die
Schwachstelle ist auf das zu wenig restriktive Parsen der ASN.1-Werte
zurückzuführen. Ein entfernter, nicht authentifizierter Angreifer kann
darüber Sicherheitsvorkehrungen umgehen und Informationen ausspähen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-1254/

Chrome-ADV-Wednesday, September 24, 2014:
http://googlechromereleases.blogspot.de/2014/09/stable-channel-update_24.html

Mozilla Foundation Security Advisory MFSA 2014-73:
http://www.mozilla.org/security/announce/2014/mfsa2014-73.html

Ubuntu Security Notice USN-2360-1:
http://www.ubuntu.com/usn/usn-2360-1/

Ubuntu Security Notice USN-2360-2:
http://www.ubuntu.com/usn/usn-2360-2/

Ubuntu Security Notice USN-2361-1:
http://www.ubuntu.com/usn/usn-2361-1/

Schwachstelle CVE-2014-1568 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-1568

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben