DFN-CERT

Advisory-Archiv

2017-0698: Mozilla Network Security Services (NSS): Eine Schwachstelle ermöglicht einen Denial-of-Service-Angriff

Historie:

Version 1 (2017-04-20 19:10)
Neues Advisory
Version 2 (2017-04-21 12:38)
Für Oracle Linux 6 (i386, x86_64) und Oracle Linux 7 (x86_64) sowie Oracle VM 3.3 und Oracle VM 3.4 stehen nun ebenfalls Backport-Sicherheitsupdates in Form der Pakete 'nss' und 'nss-util' in der Version 3.28.4 bereit.
Version 3 (2017-04-21 17:08)
Für Fedora 24, 25 und 26 stehen Sicherheitsupdates in Form von 'nss-softokn-3.29.5-1.0'- und 'nss-util-3.29.5-1.0'-Paketen zur Verfügung. Die Sicherheitsupdates für Fedora 24 und 26 sind im Status 'testing', während sich dasjenige für Fedora 25 bereits im Status 'stable' befindet.
Version 4 (2017-04-28 11:39)
Canonical stellt für Ubuntu 14.04 LTS, 16.04 LTS, 16.10 und 17.04 die Mozilla Network Security Services (NSS) 3.28.4 als Sicherheitsupdate bereit. Mit diesem Update wird zusätzlich die Schwachstelle CVE-2016-2183 in OpenSSL adressiert. Das Sicherheitsupdate für diese Schwachstelle beschränkt die maximale Anzahl an Verwendungen des identischen symmetrischen Schlüssels in NSS. Nach Einspielen des Updates sollten alle Anwendungen, die auf NSS zurückgreifen, neu gestartet werden.
Version 5 (2017-05-02 15:08)
Für Oracle Linux 5 (i386, x86_64) stehen NSS-Sicherheitsupdates zur Behebung der Schwachstelle bereit.
Version 6 (2017-05-19 14:33)
Red Hat informiert in zwei Bug Fix Advisories darüber, dass die Red Hat Enterprise Linux Amazon Machine Images (AMIs) in Amazon Web Services Elastic Compute Cloud (AWS EC2) aktualisiert wurden, um die Schwachstelle zu beheben. Laut Referenzen sind Red Hat Enterprise Linux 6.9 und 7.3 Guest Images auf Red Hat Enterprise Linux Server 6 und 7 betroffen.
Version 7 (2017-08-14 19:21)
IBM informiert darüber, dass IBM Security Access Manager Appliances von der Schwachstelle in Network Security Services (NSS) betroffen sind und stellt Sicherheitsupdates in Form von Interim Fixes zur Verfügung. Für IBM Security Access Manager for Web 7.0 (appliance) steht der Interim Fix 31 (7.0.0-ISS-WGA-IF0031) bereit. Für IBM Security Access Manager for Web 8.0.0.0 - 8.0.1.6 soll zunächst auf 8.0.1.6 (8.0.1-ISS-WGA-FP0006) und im zweiten Schritt auf 8.0.1.6 Interim Fix 1 (8.0.1.6-ISS-WGA-IF0001), für IBM Security Access Manager for Mobile 8.0.0.0 - 8.0.1.6 zunächst auf 8.0.1.6 (8.0.1-ISS-ISAM-FP0006) und im zweiten Schritt auf 8.0.1.6 Interim Fix 1 (8.0.1.6-ISS-ISAM-IF0001) sowie für IBM Security Access Manager 9.0 - 9.0.3.0 zunächst auf 9.0.3.0 (IBM Security Access Manager V9.0.3 Multiplatform, Multilingual (CRW4EML) und im zweiten Schritt auf 9.0.3.0 Interim Fix 2 (9.0.3.0-ISS-ISAM-IF0002) aktualisiert werden, um diese Schwachstelle zu beheben.

Betroffene Software

Netzwerk
Sicherheit
Systemsoftware

Betroffene Plattformen

Hardware
Netzwerk
IBM
Linux
Oracle

Beschreibung:

Eine Schwachstelle in Mozilla Network Security Services (NSS) ermöglicht einem entfernten, nicht authentisierten Angreifer die Durchführung eines Denial-of-Service (DoS)-Angriffs und möglicherweise weitere nicht näher spezifizierte Angriffe.

Red Hat stellt für die Red Hat Enterprise Linux 6 und 7 Produkte Desktop, HPC Node, Server und Workstation sowie Server Telco Extended Update Support 7.3 Backport-Sicherheitsupdates in Form der Pakete 'nss' und 'nss-util' in der Version 3.28.4 bereit.

Für Red Hat Enterprise Linux 5 Extended Lifecycle Support und Red Hat Enterprise Linux Server 5.9 Long Life werden Sicherheitsupdate für 'nss' bereitgestellt.

Und für die Red Hat Enterprise Linux Advanced Update Support (AUS) Produkte Server 6.2, 6.4, 6.5, 6.6 und 7.2, die Telco Extended Update Support (TUS) Produkte Server 6.5, 6.6 und 7.2 sowie die Extended Update Support (EUS) Produkte HPC Node 7.2 und Server 6.7.z und 7.2 werden aktualisierte 'nss-util'-Pakete als Backport-Sicherheitsupdates bereitgestellt.

Schwachstellen:

CVE-2017-5461

Schwachstelle in Network Security Services (NSS) ermöglicht u. a. Denial-of-Service-Angriffe

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.