DFN-CERT-2015-1780 Mozilla NSS, Mozilla NSPR: Mehrere Schwachstellen ermöglichen u.a. das Ausführen beliebigen Programmcodes [Linux][RedHat]

DFN-CERT-2015-1780 Mozilla NSS, Mozilla NSPR: Mehrere Schwachstellen ermöglichen u.a. das Ausführen beliebigen Programmcodes [Linux][RedHat]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Netscape Portable Runtime (NSPR)
Mozilla Network Security Services

Betroffene Plattformen:

Red Hat Enterprise Linux Server 6.2 AUS
Red Hat Enterprise Linux Server 6.4 AUS
Red Hat Enterprise Linux Server 6.5 AUS
Red Hat Enterprise Linux Server 6.5.z EUS
Red Hat Enterprise Linux Server 6.6.z EUS

Mehrere Schwachstellen in Mozilla Network Security Services (NSS) und
Netscape Portable Runtime (NSPR) ermöglichen einem entfernten, nicht
authentifizierten Angreifer das Ausführen beliebigen Programmcodes.

Red Hat stellt für Red Hat Enterprise Linux Server AUS Version 6.2, 6.4 und
6.5 sowie Red Hat Enterprise Linux Server EUS Version 6.5.z und 6.6.z
verschiedene Backport-Sicherheitsupdates bereit, um diese Schwachstellen zu
beheben.

Patch:

Red Hat Security Advisory RHSA-2015:2068

http://rhn.redhat.com/errata/RHSA-2015-2068.html

CVE-2015-7183: Schwachstelle in Mozilla Firefox ermöglicht Ausführen
beliebigen Programmcodes

Es existiert eine Schwachstelle in der Netscape Portable Runtime (NSPR) in
Mozilla Firefox vor Version 42 und Firefox ESR vor Version 38.4, die
aufgrund eines Lecks während der Speicherallozierung in der Funktion
‘PL_ARENA_ALLOCATE’ hervorgerufen wird und zu einem Integer-Überlauf führen
kann. Ein entfernter, nicht authentifizierter Angreifer kann unter
Ausnutzung der Schwachstelle beliebigen Programmcode ausführen.

CVE-2015-7182: Pufferüberlauf-Schwachstelle in Network Security Services
ermöglicht Ausführen beliebigen Programmcodes

Es existiert eine nicht näher beschriebene Pufferüberlauf-Schwachstelle in
den Network Security Services (NSS) in Mozilla Firefox und Firefox ESR vor
Version 42 bzw 38.4, die beim Parsen eines ASN.1 OCTET-STRING hervorgerufen
wird. Ein entfernter, nicht authentifizierter Angreifer kann über diese
beliebigen Programmcode ausführen.

CVE-2015-7181: Schwachstelle in Network Security Services ermöglicht
Ausführen beliebigen Programmcodes

Es existiert eine nicht näher beschriebene Use-After-Poison-Schwachstelle in
den Network Security Services (NSS) in Mozilla Firefox und Firefox ESR vor
Version 42 bzw 38.4, die in der Funktion sec_asn1d_parse_leaf() des ASN.1
Dekoders hervorgerufen wird. Ein entfernter, nicht authentifizierter
Angreifer kann diese ausnutzen und beliebigen Programmcode ausführen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-1780/

Schwachstelle CVE-2015-7181 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-7181

Schwachstelle CVE-2015-7182 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-7182

Schwachstelle CVE-2015-7183 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-7183

Red Hat Security Advisory RHSA-2015:2068:
http://rhn.redhat.com/errata/RHSA-2015-2068.html

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben