UPDATE: DFN-CERT-2013-2025 NSS und NSPR: Mehrere Schwachstellen ermöglichen Ausführung beliebigen Codes [Linux][RedHat]

UPDATE: DFN-CERT-2013-2025 NSS und NSPR: Mehrere Schwachstellen ermöglichen Ausführung beliebigen Codes [Linux][RedHat]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 2 (13.12.2013):
Update: Die Schwachstellen wurden nun auch in Red Hat Enterprise Linux 6
behoben.
Version 1 (06.12.2013):
Neues Advisory

Betroffene Software:

Mozilla Firefox <= 24.1 Mozilla Firefox <= 25.0 Mozilla Firefox ESR <= 17.0.10 Mozilla Firefox ESR <= 24.0.2 Mozilla Network Security Services <= 3.15.2 Mozilla SeaMonkey <= 2.21 Mozilla SeaMonkey <= 2.22 Beta2 Red Hat Enterprise Linux <= 5 Client Workstation Red Hat Enterprise Linux <= 5 Server Red Hat Enterprise Linux <= Server 6 RedHat Enterprise Linux Desktop <= 5.0 RedHat Enterprise Linux Desktop <= 6.0 RedHat Enterprise Linux HPC Node <= 6.0 RedHat Enterprise Linux Workstation <= 6 Betroffene Plattformen: Linux RedHat Ein entfernter Angreifer kann diese Schwachstellen ausnutzen, um beliebige Befehle zur Ausführung zu bringen. Patch: Mozilla Foundation Security Advisory 2013-93 http://www.mozilla.org/security/announce/2013/mfsa2013-93.html

Patch:

Mozilla Foundation Security Advisory 2013-103

http://www.mozilla.org/security/announce/2013/mfsa2013-103.html

Patch:

Red Hat Security Advisory RHSA-2013-1791

http://rhn.redhat.com/errata/RHSA-2013-1791.html

Patch:

Red Hat Security Advisory RHSA-2013-1829

http://rhn.redhat.com/errata/RHSA-2013-1829.html

CVE-2013-5607: Integer-Overflow Schwachstelle in der Mozilla Netscape
Portable Runtime (NSPR)

In der Mozilla Netscape Portable Runtime (NSPR) kann durch die Funktion
PL_ArenaAllocate() ein Integer-Overflow ausgelöst werden. Ein entfernter
Angreifer kann diese Schwachstelle ausnutzen, um die Anwendung über ein
manipuliertes X.509 Zertifikat zum Absturz oder beliebige Befehle zur
Ausführung zu bringen.

CVE-2013-5606: Schwachstelle in den Network Security Services (NSS)

Die Funktion CERT_VerifyCert() (aus: lib/certhigh/certvfy.c) aus der Network
Security Services (NSS) Bibliothek, die von Mozilla Produkten verwendet
wird, behandelt inkompatiblen Schlüsselgebrauch durch Zertifikate nicht
richtig und akzeptiert auch ungültige Zertifikate (gibt ‘SECSuccess’
zurück). Ein entfernter Angreifer kann diese Schwachstelle ausnutzen, um mit
einem manipulierten Zertifikat Zugangsbeschränkungen zu umgehen.

CVE-2013-1741: Integer-Overflow Schwachstelle in den Network Security
Services (NSS)

Integer overflow in Mozilla Network Security Services (NSS) 3.15 before
3.15.3 allows remote attackers to cause a denial of service or possibly have
unspecified other impact via a large size value.

CVE-2013-5605: Buffer-Overflow in den Network Security Services (NSS)

Die Network Security Services (NSS) Bibliothek, die von Mozilla Produkten
verwendet wird, behandelt ungültige Handshake-Pakete in unsicherer Weise.
Die Funktion Null_Cipher() beachtet die Größe ‘maxOutputLen’ nicht und ein
Buffer-Overflow kann ausgelöst werden. Ein entfernter Angreifer kann diese
Schwachstelle ausnutzen, um vertrauliche Informationen zu erlangen, Daten zu
verändern oder den Dienst zum Stillstand zubringen.

CVE-2013-1739: Schwachstelle in Mozilla NSS

In den Mozilla Network Security Services kann es bei einem
Entschlüsselungsfehler zu einem Lesezugriff auf nicht initialisierten
Speicher kommen. Dies ermöglicht einem entfernten Angreifer die Anwendung,
welche die Network Security Services verwendet, zum Absturz zu bringen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2013-2025/

Mozilla Foundation Security Advisory 2013-93:
http://www.mozilla.org/security/announce/2013/mfsa2013-93.html

Schwachstelle CVE-2013-1739 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-1739

Mozilla Foundation Security Advisory 2013-103:
http://www.mozilla.org/security/announce/2013/mfsa2013-103.html

Schwachstelle CVE-2013-5605 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-5605

Schwachstelle CVE-2013-5607 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-5607

Schwachstelle CVE-2013-5606 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-5606

Schwachstelle CVE-2013-1741 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-1741

Red Hat Security Advisory RHSA-2013-1791:
http://rhn.redhat.com/errata/RHSA-2013-1791.html

Red Hat Security Advisory RHSA-2013-1829:
http://rhn.redhat.com/errata/RHSA-2013-1829.html

(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.

© COMPUTEC MEDIA GmbH
Nach oben