Liebes Linux-Magazin-Team,
bitte beachten Sie die Informationen zu den verfügbaren Sicherheitsupdates
in der folgenden Sicherheitsmeldung.
Historie:
Version 4 (15.02.19):
Für openSUSE Leap 15.0 steht ein Sicherheitsupdate für ‘mozilla-nss’ auf
Version 3.41.1 bereit, mit dem die Schwachstelle CVE-2018-12404 erneut
adressiert wird.
Version 3 (02.01.19):
Für openSUSE Leap 15.0 steht ein Sicherheitsupdate auf die Mozilla NSS
Version 3.40.1 bereit. Zusätzlich zu der hier referenzierten Schwachstelle
beheben die Sicherheitsupdates auch die Schwachstelle CVE-2018-12384, die
ein entfernter, nicht authentisierter Angreifer ausnutzen kann, um
Sicherheitsvorkehrungen zu umgehen und die bereits mit der NSS Version
3.39 behoben wurde. Auch wird die Schwachstelle CVE-2018-0495 adressiert,
die ein lokaler, nicht authentisierter Angreifer für das Ausspähen von
Informationen nutzen kann. Mozilla NSS 3.40.1 benötigt die Netscape
Portable Runtime Library (NSPR) in Version 4.20 oder neuer. Updates auf
die NSPR Version 4.20 stehen ebenfalls bereit.
Version 2 (27.12.18):
Für die SUSE Linux Enterprise Produkte Software Development Kit, Server
und Desktop in den Versionen 12 SP3 und 12 SP4, Server for SAP 12 SP2,
Server 12 SP2 LTSS, 12 SP2 BCL, 12 SP1 LTSS und 12 LTSS sowie die SUSE
Linux Enterprise Module for Open Buildservice Development Tools, for
Desktop Applications und for Basesystem in Version 15, SUSE OpenStack
Cloud 7, SUSE Enterprise Storage 4, SUSE CaaS Platform ALL und 3.0 stehen
Sicherheitsupdates auf die Mozilla NSS Version 3.40.1 bereit. Zusätzlich
zu der hier referenzierten Schwachstelle beheben die Sicherheitsupdates
auch die Schwachstelle CVE-2018-12384, die ein entfernter, nicht
authentisierter Angreifer ausnutzen kann, um Sicherheitsvorkehrungen zu
umgehen und die bereits mit der NSS Version 3.39 behoben wurde. Auch wird
die Schwachstelle CVE-2018-0495 adressiert, die ein lokaler, nicht
authentisierter Angreifer für das Ausspähen von Informationen nutzen kann.
Mozilla NSS 3.40.1 benötigt die Netscape Portable Runtime Library (NSPR)
in Version 4.20 oder neuer. Updates auf die NSPR Version 4.20 stehen
ebenfalls bereit.
Version 1 (07.12.18):
Neues Advisory
Ein lokaler, nicht authentisierter Angreifer kann eine Schwachstelle in NSS
ausnutzen, um den Klartext RSA-verschlüsselter Daten zu erhalten. Wenn
derselbe RSA-Schlüssel zum Entschlüsseln und Signieren verwendet wird, kann
der Angreifer zusätzlich Signaturen fälschen.
Das NSS Team hat Network Security Services (NSS) 3.40.1 als Patch Release
für NSS 3.40 zur Mitigation einer Cache Seitenkanal-Variante des
Bleichenbacher-Angriffs (CVE-2018-12404) veröffentlicht.
Für Fedora 28 und 29 stehen Sicherheitsupdates auf das NSS 3.40.1 Release im
Status ‘testing’ bereit, um diese Schwachstelle zu beheben.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Schwachstellenarchiv unter:
[https://adv-archiv.dfn-cert.de/adv/2018-2494]
Mit freundlichen Grüßen,
Ihr DFN-CERT Incident Response Team
—
(c) DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen ist auf den Ursprung in
angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für die DFN-CERT
Webseite. https://www.dfn-cert.de/impressum.html
