Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 3 (08.01.2015):
Für die Distributionen Ubuntu 14.10, Ubuntu 14.04 LTS, Ubuntu 12.04 LTS
und Ubuntu 10.04 LTS stehen Sicherheitsupdates bereit.
Version 2 (18.12.2014):
Für Fedora 19 und 21 werden Sicherheitsupdates bereitgestellt.
Version 1 (16.12.2014):
Neues Advisory

Betroffene Software:

Mozilla Network Security Services <= 3.16.2.3 Mozilla Network Security Services <= 3.17.2 Betroffene Plattformen: Canonical Ubuntu Linux 10.04 Lts Canonical Ubuntu Linux 12.04 Lts Canonical Ubuntu Linux 14.04 Lts Canonical Ubuntu Linux 14.10 Red Hat Fedora 19 Red Hat Fedora 21 Ein entfernter, nicht authentifizierter Angreifer kann diese Schwachstelle ausnutzen, um bestimmte Sicherheitsvorkehrungen zu umgehen oder eventuell um beliebigen Programmcode mit den Rechten des Dienstes auszuführen. Patch: Fedora Security Update FEDORA-2014-16826 https://admin.fedoraproject.org/updates/FEDORA-2014-16826/nss-util-3.17.3-1.fc19,nss-3.17.3-1.fc19,nss-softokn-3.17.3-1.fc19

Patch:

Fedora Security Update FEDORA-2014-16826

https://admin.fedoraproject.org/updates/FEDORA-2014-16826/nss-3.17.3-2.fc19,nss-util-3.17.3-1.fc19,nss-softokn-3.17.3-1.fc19

Patch:

Fedora Security Update FEDORA-2014-17085

https://admin.fedoraproject.org/updates/FEDORA-2014-17085/nss-3.17.3-2.fc21

Patch:

Ubuntu Security Notice USN-2452-1

http://www.ubuntu.com/usn/usn-2452-1/

CVE-2014-1569: Schwachstelle in Mozilla Network Security Service

Die definite_length_decoder Funktion in lib/util/quickder.c von Mozilla
Network Security Services überprüft die Länge von ASN.1 Objekten in DER
Codierung nicht ausreichend. Ein entfernter, nicht authentifizierter
Angreifer kann dies ausnutzen, in dem er eine lange Byte-Folge für eine DER
Codierung sendet und beliebige Daten darin einschmuggelt. Dies wird
beispielsweise demonstriert durch die inkorrekte Bearbeitung der Codierung
einer beliebigen Länge 0x00 durch die SEC_QuickDERDecodeItem Funktion.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-1670/

Fedora Security Update FEDORA-2014-16826:
https://admin.fedoraproject.org/updates/FEDORA-2014-16826/nss-util-3.17.3-1.fc19,nss-3.17.3-1.fc19,nss-softokn-3.17.3-1.fc19

Schwachstelle CVE-2014-1569 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-1569

Fedora Security Update FEDORA-2014-16826:
https://admin.fedoraproject.org/updates/FEDORA-2014-16826/nss-3.17.3-2.fc19,nss-util-3.17.3-1.fc19,nss-softokn-3.17.3-1.fc19

Fedora Security Update FEDORA-2014-17085:
https://admin.fedoraproject.org/updates/FEDORA-2014-17085/nss-3.17.3-2.fc21

Ubuntu Security Notice USN-2452-1:
http://www.ubuntu.com/usn/usn-2452-1/

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 2 (18.12.2014):
Für Fedora 19 und 21 werden Sicherheitsupdates bereitgestellt.
Version 1 (16.12.2014):
Neues Advisory

Betroffene Software:

Mozilla Network Security Services <= 3.16.2.3 Mozilla Network Security Services <= 3.17.2 Betroffene Plattformen: Red Hat Fedora 19 Red Hat Fedora 21 Ein entfernter, nicht authentifizierter Angreifer kann diese Schwachstelle ausnutzen, um bestimmte Sicherheitsvorkehrungen zu umgehen oder eventuell um beliebigen Programmcode mit den Rechten des Dienstes auszuführen. Patch: Fedora Security Update FEDORA-2014-16826 https://admin.fedoraproject.org/updates/FEDORA-2014-16826/nss-util-3.17.3-1.fc19,nss-3.17.3-1.fc19,nss-softokn-3.17.3-1.fc19

Patch:

Fedora Security Update FEDORA-2014-16826

https://admin.fedoraproject.org/updates/FEDORA-2014-16826/nss-3.17.3-2.fc19,nss-util-3.17.3-1.fc19,nss-softokn-3.17.3-1.fc19

Patch:

Fedora Security Update FEDORA-2014-17085

https://admin.fedoraproject.org/updates/FEDORA-2014-17085/nss-3.17.3-2.fc21

CVE-2014-1569: Schwachstelle in Mozilla Network Security Service

Die definite_length_decoder Funktion in lib/util/quickder.c von Mozilla
Network Security Services überprüft die Länge von ASN.1 Objekten in DER
Codierung nicht ausreichend. Ein entfernter, nicht authentifizierter
Angreifer kann dies ausnutzen, in dem er eine lange Byte-Folge für eine DER
Codierung sendet und beliebige Daten darin einschmuggelt. Dies wird
beispielsweise demonstriert durch die inkorrekte Bearbeitung der Codierung
einer beliebigen Länge 0x00 durch die SEC_QuickDERDecodeItem Funktion.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-1670/

Fedora Security Update FEDORA-2014-16826:
https://admin.fedoraproject.org/updates/FEDORA-2014-16826/nss-util-3.17.3-1.fc19,nss-3.17.3-1.fc19,nss-softokn-3.17.3-1.fc19

Schwachstelle CVE-2014-1569 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-1569

Fedora Security Update FEDORA-2014-16826:
https://admin.fedoraproject.org/updates/FEDORA-2014-16826/nss-3.17.3-2.fc19,nss-util-3.17.3-1.fc19,nss-softokn-3.17.3-1.fc19

Fedora Security Update FEDORA-2014-17085:
https://admin.fedoraproject.org/updates/FEDORA-2014-17085/nss-3.17.3-2.fc21

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.