1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
|
#use wml::debian::translation-check translation="d32293c77a10c98be801333f75776edcf7cfad64" maintainer="Lev Lamberov"
<define-tag description>обновление безопасности</define-tag>
<define-tag moreinfo>
<p>В NSS, криптографической библиотеке, разработанной проектом Mozilla,
было обнаружено несколько уязвимостей.</p>
<ul>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-4000">CVE-2015-4000</a>
<p>Давид Адриан и др. сообщили, что при определённых обстоятельствах вероятно
можно атаковать наборы шифров на основе протокола Диффи-Хеллмана,
компрометируя конфиденциальность и целостность данных, зашифрованных
с помощью Transport Layer Security (TLS).</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-7181">CVE-2015-7181</a>
<a href="https://security-tracker.debian.org/tracker/CVE-2015-7182">CVE-2015-7182</a>
<a href="https://security-tracker.debian.org/tracker/CVE-2016-1950">CVE-2016-1950</a>
<p>Тайсон Смит, Дэвид Килер и Франсуа Габриэль обнаружили
переполнения динамической памяти в коде для грамматического разбора ASN.1 DER, которые
потенциально приводят к выполнению произвольного кода.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-7575">CVE-2015-7575</a>
<p>Картикеян Бхаргаван обнаружил, что реализация в TLS-клиенте
принятия подписей на основе MD5 для соединений TLS 1.2 с прямой
секретностью ослабляет предполагаемую стойкость соединений
TLS.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-1938">CVE-2016-1938</a>
<p>Ханно Бёк обнаружил, что NSS неправильно вычисляет результат деления
целых чисел при получении определённых входных данных. Это может ослабить криптографическую
защиту, предоставляемую NSS. Тем не менее, NSS реализует защиту от утечек
RSA-CRT, поэтому закрытые RSA-ключи из-за этой проблемы не
раскрываются.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-1978">CVE-2016-1978</a>
<p>Эрик Рескорла обнаружил использование указателей после освобождения памяти в
реализации TLS-рукопожатий на основе ECDH, которое имеет неизвестные
последствия.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-1979">CVE-2016-1979</a>
<p>Тим Тауберт обнаружил использование указателей после освобождения памяти в коде
обработки ASN.1 DER, которое оказывает разное влияние в зависимости от приложения, использующего NSS.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-2834">CVE-2016-2834</a>
<p>Тайсон Смит и Джед Дэвис обнаружили в NSS ошибки целостности содержимого
памяти.</p></li>
</ul>
<p>Кроме того, библиотека NSS не игнорирует переменные окружения в
процессах, которые выполняют переход SUID/SGID/AT_SECURE
во время запуска процесса. При определённых настройках системы это
позволяло локальным пользователям повышать привилегии.</p>
<p>Данное обновление содержит дополнительные исправления корректности и стабильности,
которые не имеют непосредственного влияния на безопасность.</p>
<p>В стабильном выпуске (jessie) эти проблемы были исправлены в
версии 2:3.26-1+debu8u1.</p>
<p>В нестабильном выпуске (sid) эти проблемы были исправлены в
версии 2:3.23-1.</p>
<p>Рекомендуется обновить пакеты nss.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2016/dsa-3688.data"
# $Id$
|
