UPDATE: DFN-CERT-2016-0670 Network Security Services (NSS), Netscape Portable Runtime (NSPR): Zwei Schwachstellen ermöglichen das Ausführen beliebigen Programmcodes [Linux][RedHat][Windows]

UPDATE: DFN-CERT-2016-0670 Network Security Services (NSS), Netscape Portable Runtime (NSPR): Zwei Schwachstellen ermöglichen das Ausführen beliebigen Programmcodes [Linux][RedHat][Windows]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 2 (03.05.2016):
Mozilla Network Security Services (NSS) Version 3.19.2.4 steht ebenfalls
als Sicherheitsupdate zur Verfügung.
Version 1 (25.04.2016):
Neues Advisory

Betroffene Software:

Netscape Portable Runtime Library (NSPR) < 4.11 Mozilla Network Security Services < 3.19.2.4 Mozilla Network Security Services < 3.21.1 Betroffene Plattformen: GNU/Linux Microsoft Windows Red Hat Enterprise Linux Desktop 5 Client Red Hat Enterprise Linux Desktop 5 Workstation/Client Red Hat Enterprise Linux Desktop 7 Red Hat Enterprise Linux HPC Node 7 Red Hat Enterprise Linux HPC Node 7.2 EUS Red Hat Enterprise Linux Server 5 Red Hat Enterprise Linux Server 7 Red Hat Enterprise Linux Server 7.2 AUS Red Hat Enterprise Linux Server 7.2 EUS Red Hat Enterprise Linux Workstation 7 Zwei Schwachstellen in den Network Security Services und der Netscape Portable Runtime ermöglichen einem entfernten, nicht authentifizierten Angreifer das Durchführen eines Denial-of-Service-Angriffs und das Ausführen beliebigen Programmcodes. Für verschiedene Red Hat Enterprose Linux 5 und 7 Produkte stehen Sicherheitsupdates zur Verfügung. Patch: Mozilla Foundation Security Advisory 2016-15 https://www.mozilla.org/en-US/security/advisories/mfsa2016-15/

Patch:

Mozilla Foundation Security Advisory 2016-36

https://www.mozilla.org/en-US/security/advisories/mfsa2016-36/

Patch:

Red Hat Security Advisory RHSA-2016:0684

http://rhn.redhat.com/errata/RHSA-2016-0684.html

Patch:

Red Hat Security Advisory RHSA-2016:0685

http://rhn.redhat.com/errata/RHSA-2016-0685.html

CVE-2016-1978: Use-after-free-Schwachstelle in Mozilla NSS ermöglicht
Ausführen beliebigen Programmcodes

Es existiert eine Use-after-free-Schwachstelle in den Mozilla Network
Security Services, aufgrund einer fehlschlagenden Speicherzuordnung während
des Handshakes bei der Diffie-Hellmann(DHE)- und der
Eliptic-Curve-Diffie-Hellmann(ECDHE)-Verschlüsselung. Diese ermöglicht einem
entfernten, nicht authentifizierten Angreifer einen
Denial-of-Service-Angriff durchzuführen und eventuell beliebigen
Programmcode zur Ausführung zu bringen.

CVE-2016-1979: Schwachstelle in Mozilla Firefox ermöglicht Ausführen
beliebigen Programmcodes

In den von Mozilla Firefox genutzten Network Security Services (NSS)
Bibliotheken kann es bei der Verarbeitung von DER-kodierten Schlüsseln zu
einem Speicherfehler (Use-after-free) kommen. Ein entfernter, nicht
authentisierter Angreifer kann einen Absturz herbeiführen
(Denial-of-Service) oder beliebigen Programmcode ausführen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2016-0670/

Mozilla Foundation Security Advisory 2016-15:
https://www.mozilla.org/en-US/security/advisories/mfsa2016-15/

Mozilla Foundation Security Advisory 2016-36:
https://www.mozilla.org/en-US/security/advisories/mfsa2016-36/

Schwachstelle CVE-2016-1978 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-1978

Schwachstelle CVE-2016-1979 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-1979

Red Hat Security Advisory RHSA-2016:0684:
http://rhn.redhat.com/errata/RHSA-2016-0684.html

Red Hat Security Advisory RHSA-2016:0685:
http://rhn.redhat.com/errata/RHSA-2016-0685.html

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben