Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 2 (26.09.2014):
Für die Debian Distributionen Wheezy und Jessie stehen Sicherheitsupdates
für die NSS zur Verfügung, für Debian Wheezy gibt es ein extra Update für
Iceweasel.
Version 1 (25.09.2014):
Neues Advisory

Betroffene Software:

Debian Iceweasel <= 24.8.0esr-1 Google Chrome < 37.0.2062.124 Mozilla Firefox <= 32.0.2 Mozilla Firefox ESR <= 24.8 Mozilla Firefox ESR <= 31.1 Mozilla Network Security Services <= 3.16.2 Mozilla Network Security Services <= 3.16.4 Mozilla Network Security Services <= 3.17 Mozilla SeaMonkey <= 2.29 Mozilla Thunderbird <= 24.8 Mozilla Thunderbird <= 31.1.1 Betroffene Plattformen: Apple Mac OS Canonical Ubuntu Linux 10.04 Lts Canonical Ubuntu Linux 12.04 Lts Canonical Ubuntu Linux 14.04 Lts Debian Linux 7.6 Wheezy Debian Linux 8.0 Jessie GNU/Linux Microsoft Windows Durch eine Schwachstelle in Mozilla Network Security Services kann ein entfernter, nicht authentifizierter Angreifer RSA-Zertifikate fälschen und somit Sicherheitsvorkehrungen umgehen und Informationen ausspähen. Mozilla stellt zur Behebung der Schwachstelle folgende Sicherheitsupdates bereit: Firefox 32.0.3, Firefox ESR 24.8.1, Firefox ESR 31.1.1, Thunderbird 31.1.2, Thunderbird 24.8.1, SeaMonkey 2.29.1, NSS 3.16.2.1, NSS 3.16.5 und NSS 3.17.1. Google stellt für Windows und Mac OS X die Chrome Version 37.0.2062.124 bereit. Und Canonical stellt für Ubuntu 10.04 LTS, Ubuntu 12.04 LTS und Ubuntu 14.04 LTS Sicherheitspatches zur Verfügung. Patch: Chrome-ADV-Wednesday, September 24, 2014 http://googlechromereleases.blogspot.de/2014/09/stable-channel-update_24.html

Patch:

Mozilla Foundation Security Advisory MFSA 2014-73

http://www.mozilla.org/security/announce/2014/mfsa2014-73.html

Patch:

Ubuntu Security Notice USN-2360-1

http://www.ubuntu.com/usn/usn-2360-1/

Patch:

Ubuntu Security Notice USN-2360-2

http://www.ubuntu.com/usn/usn-2360-2/

Patch:

Ubuntu Security Notice USN-2361-1

http://www.ubuntu.com/usn/usn-2361-1/

Patch:

Debian Security Advisory DSA-3033-1

https://www.debian.org/security/2014/dsa-3033

Patch:

Debian Security Advisory DSA-3034-1

https://www.debian.org/security/2014/dsa-3034

CVE-2014-1568: Schwachstelle in Mozilla Network Security Services ermöglicht
das Umgehen von Sicherheitsvorkehrungen

Es existiert eine Schwachstelle in der Network Security Services (NSS)
Bibliothek, die das Fälschen von RSA-Zertifikaten ermöglicht. Die
Schwachstelle ist auf das zu wenig restriktive Parsen der ASN.1-Werte
zurückzuführen. Ein entfernter, nicht authentifizierter Angreifer kann
darüber Sicherheitsvorkehrungen umgehen und Informationen ausspähen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-1254/

Chrome-ADV-Wednesday, September 24, 2014:
http://googlechromereleases.blogspot.de/2014/09/stable-channel-update_24.html

Mozilla Foundation Security Advisory MFSA 2014-73:
http://www.mozilla.org/security/announce/2014/mfsa2014-73.html

Ubuntu Security Notice USN-2360-1:
http://www.ubuntu.com/usn/usn-2360-1/

Ubuntu Security Notice USN-2360-2:
http://www.ubuntu.com/usn/usn-2360-2/

Ubuntu Security Notice USN-2361-1:
http://www.ubuntu.com/usn/usn-2361-1/

Schwachstelle CVE-2014-1568 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-1568

Debian Security Advisory DSA-3033-1:
https://www.debian.org/security/2014/dsa-3033

Debian Security Advisory DSA-3034-1:
https://www.debian.org/security/2014/dsa-3034

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.