UPDATE: DFN-CERT-2017-0051 Mozilla Network Security Services (NSS): Eine Schwachstelle ermöglicht das Umgehen von Sicherheitsvorkehrungen [Linux][Fedora][SuSE]

UPDATE: DFN-CERT-2017-0051 Mozilla Network Security Services (NSS): Eine Schwachstelle ermöglicht das Umgehen von Sicherheitsvorkehrungen [Linux][Fedora][SuSE]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 2 (02.02.2017):
Für openSUSE Leap 42.1 und openSUSE Leap 42.2 stehen Updates für Netscape
Portable Runtime (NSPR) auf Version 4.13.1 und Mozilla Network Security
Services (NSS) auf Version 3.28.1 zur Verfügung. Wichtiger Hinweis: Diese
Versionen sind notwendige Voraussetzungen für die Sicherheitsupdates für
Mozilla Firefox und Seamonkey.
Version 1 (12.01.2017):
Neues Advisory

Betroffene Software:

Netscape Portable Runtime (NSPR) < 4.13.1 Mozilla Network Security Services < 3.28.1 Betroffene Plattformen: openSUSE Leap 42.1 openSUSE Leap 42.2 Red Hat Fedora 24 Red Hat Fedora 25 Ein entfernter, nicht authentifizierter Angreifer kann nicht vertrauenswürdige Wurzelzertifikate verwenden und dadurch Sicherheitsvorkehrungen umgehen. Mozilla stellt Version 3.28.1 der Network Security Services bereit, um unter anderem die Liste der Wurzelzertifikate zu aktualisieren und ein kleineres TLS-Kompatibilitätsproblem zu beheben, welches einige Anwendungen mit NSS 3.28 hatten. Fedora stellt ein angepasstes Update des Pakets 'ca-certificates-2017.2.11-1.0' für Fedora 24 und 25 im Status 'testing' zur Verfügung, in dem einigen der Certificate Authorities (CAs) aus Kompatibilitätsgründen weiterhin vertraut wird. Patch: Fedora Security Update FEDORA-2017-0b50f61ab2 (Fedora 24, ca-certificates-2017.2.11-1.0) https://bodhi.fedoraproject.org/updates/FEDORA-2017-0b50f61ab2

Patch:

Fedora Security Update FEDORA-2017-9784ee67f2 (Fedora 25,
ca-certificates-2017.2.11-1.0)

https://bodhi.fedoraproject.org/updates/FEDORA-2017-9784ee67f2

Patch:

openSUSE Recommended Update openSUSE-RU-2017:0355-1

https://lists.opensuse.org/opensuse-updates/2017-02/msg00001.html

NSS-3-28-1-A: Schwachstelle in Mozilla Network Security Services ermöglicht
Umgehen von Sicherheitsvorkehrungen

In Mozilla Network Security Services vor Version 3.28.1 finden sich mehrere
nicht vertrauenswürdige Wurzelzertifikate.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-0051/

Fedora Security Update FEDORA-2017-0b50f61ab2 (Fedora 24,
ca-certificates-2017.2.11-1.0):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-0b50f61ab2

Fedora Security Update FEDORA-2017-9784ee67f2 (Fedora 25,
ca-certificates-2017.2.11-1.0):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-9784ee67f2

Mozilla NSS 3.28.1 Release Notes:
https://developer.mozilla.org/en-US/docs/Mozilla/Projects/NSS/NSS_3.28.1_release_notes

Hinweise zu Modifikationen an der Mozilla CA-Zertifikatsliste für Fedora:
https://fedoraproject.org/wiki/CA-Certificates

openSUSE Recommended Update openSUSE-RU-2017:0355-1:
https://lists.opensuse.org/opensuse-updates/2017-02/msg00001.html

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben