Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 3 (22.06.2017):
Canonical stellt für die aktuell unterstützten Distributionen Ubuntu Linux
14.04 LTS, 16.04 LTS, 16.10 und 17.04 Sicherheitsupdates für ‘nss’ zur
Verfügung. Mit der Network Security Service Library verknüpfte Anwendungen
wie Evolution oder Chromium müssen im Anschluss an das Update neu
gestartet werden.
Version 2 (31.05.2017):
Für Oracle Linux 6 (i386, x86_64) und Oracle Linux 7 (x86_64) sowie für
Oracle VM 3.3 und 3.4 (x86_64) stehen Sicherheitsupdates für ‘nss’ zur
Verfügung.
Version 1 (30.05.2017):
Neues Advisory

Betroffene Software:

Mozilla Network Security Services >= 3.24.0

Betroffene Plattformen:

Canonical Ubuntu Linux 14.04 LTS
Canonical Ubuntu Linux 16.04 LTS
Canonical Ubuntu Linux 16.10
Canonical Ubuntu Linux 17.04
Oracle Linux 6
Oracle Linux 7
Oracle VM Server 3.3
Oracle VM Server 3.4
Red Hat Enterprise Linux Desktop 6
Red Hat Enterprise Linux Desktop 7
Red Hat Enterprise Linux HPC Node 6
Red Hat Enterprise Linux HPC Node 7
Red Hat Enterprise Linux Server 6
Red Hat Enterprise Linux Server 7
Red Hat Enterprise Linux Server 7.3 TUS
Red Hat Enterprise Linux Workstation 6
Red Hat Enterprise Linux Workstation 7

Eine mit der Version 3.24.0 eingeführte Schwachstelle in Mozilla Network
Security Services (NSS) ermöglicht es einem entfernten, nicht
authentisierten Angreifer durch die Versendung einer leeren SSLv2-Nachricht
eine NULL-Zeiger Dereferenzierung zu provozieren und die Anwendung in der
Folge zum Absturz zu bringen (Denial-of-Service).

Red Hat stellt für die Red Hat Enterprise Linux 6 und 7 Produkte
Workstation, HPC Node, Desktop und Server sowie für Red Hat Enterprise Linux
Server Telecommunications Update Service (TUS) 7.3 Sicherheitsupdates zur
Behebung der Schwachstelle bereit.

Patch:

Red Hat Security Advisory RHSA-2017:1364

http://rhn.redhat.com/errata/RHSA-2017-1364.html

Patch:

Red Hat Security Advisory RHSA-2017:1365

http://rhn.redhat.com/errata/RHSA-2017-1365.html

Patch:

Oracle Linux Security Advisory ELSA-2017-1364

https://linux.oracle.com/errata/ELSA-2017-1364.html

Patch:

Oracle Linux Security Advisory ELSA-2017-1365

https://linux.oracle.com/errata/ELSA-2017-1365.html

Patch:

Oracle VM Security Advisory OVMSA-2017-0109

https://linux.oracle.com/errata/OVMSA-2017-0109.html

Patch:

Ubuntu Security Notice USN-3336-1

http://www.ubuntu.com/usn/usn-3336-1/

CVE-2017-7502: Schwachstelle in Mozilla Network Security Services ermöglicht
Denial-of-Service-Angriff

Es existiert eine Schwachstelle in den Mozilla Network Security Services,
wodurch die Anwendung beim Empfang einer leeren SSLv2-Nachricht versucht
einen NULL-Zeiger zu dereferenzieren und in der Folge abstürzt
(Denial-of-Service).

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-0931/

Red Hat Security Advisory RHSA-2017:1364:
http://rhn.redhat.com/errata/RHSA-2017-1364.html

Red Hat Security Advisory RHSA-2017:1365:
http://rhn.redhat.com/errata/RHSA-2017-1365.html

Schwachstelle CVE-2017-7502 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-7502

Oracle Linux Security Advisory ELSA-2017-1364:
https://linux.oracle.com/errata/ELSA-2017-1364.html

Oracle Linux Security Advisory ELSA-2017-1365:
https://linux.oracle.com/errata/ELSA-2017-1365.html

Oracle VM Security Advisory OVMSA-2017-0109:
https://linux.oracle.com/errata/OVMSA-2017-0109.html

Ubuntu Security Notice USN-3336-1:
http://www.ubuntu.com/usn/usn-3336-1/

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.