Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Mozilla Firefox <= 25.0 Mozilla Firefox ESR <= 17.0.10 Mozilla Firefox ESR <= 24.0.2 Mozilla SeaMonkey <= 2.22 Beta2 Betroffene Plattformen: Debian Linux 6.2 Squeeze Debian Linux 7.2 Wheezy Debian Linux 8.0 Jessie Diese Schwachstelle in der Mozilla Netscape Portable Runtime (NSPR) ermöglicht einem entfernten, nicht authentifizierten Angreifer beliebige Befehle auszuführen oder die Anwendung zum Absturz zu bringen. Patch: Debian Security Advisory DSA-2820 http://www.debian.org/security/2013/dsa-2820

Patch:

Mozilla Foundation Security Advisory 2013-103

http://www.mozilla.org/security/announce/2013/mfsa2013-103.html

CVE-2013-5607: Integer-Überlauf in Mozilla Netscape Portable Runtime (NSPR)

In der Mozilla Netscape Portable Runtime (NSPR) kann durch die Funktion
PL_ArenaAllocate() ein Integer-Überlauf ausgelöst werden. Ein entfernter,
nicht authentifizierter Angreifer kann diese Schwachstelle ausnutzen, um die
Anwendung über ein manipuliertes X.509 Zertifikat zum Absturz oder beliebige
Befehle zur Ausführung zu bringen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2013-2082/

Debian Security Advisory DSA-2820:
http://www.debian.org/security/2013/dsa-2820

Mozilla Foundation Security Advisory 2013-103:
http://www.mozilla.org/security/announce/2013/mfsa2013-103.html

Schwachstelle CVE-2013-5607 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-5607

[dev-tech-nspr] 20131113 [ANNOUNCE] NSPR 4.10.2 Release:
https://groups.google.com/forum/message/raw?msg=mozilla.dev.tech.nspr/_8AcygMEjSA/mm_cqQzLPFQJ

(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.