DFN-CERT

Advisory-Archiv

2018-2494: NSS: Eine Schwachstelle ermöglicht das Ausspähen von Informationen

Historie:

Version 1 (2018-12-07 15:29)
Neues Advisory
Version 2 (2018-12-27 12:31)
Für die SUSE Linux Enterprise Produkte Software Development Kit, Server und Desktop in den Versionen 12 SP3 und 12 SP4, Server for SAP 12 SP2, Server 12 SP2 LTSS, 12 SP2 BCL, 12 SP1 LTSS und 12 LTSS sowie die SUSE Linux Enterprise Module for Open Buildservice Development Tools, for Desktop Applications und for Basesystem in Version 15, SUSE OpenStack Cloud 7, SUSE Enterprise Storage 4, SUSE CaaS Platform ALL und 3.0 stehen Sicherheitsupdates auf die Mozilla NSS Version 3.40.1 bereit. Zusätzlich zu der hier referenzierten Schwachstelle beheben die Sicherheitsupdates auch die Schwachstelle CVE-2018-12384, die ein entfernter, nicht authentisierter Angreifer ausnutzen kann, um Sicherheitsvorkehrungen zu umgehen und die bereits mit der NSS Version 3.39 behoben wurde. Auch wird die Schwachstelle CVE-2018-0495 adressiert, die ein lokaler, nicht authentisierter Angreifer für das Ausspähen von Informationen nutzen kann. Mozilla NSS 3.40.1 benötigt die Netscape Portable Runtime Library (NSPR) in Version 4.20 oder neuer. Updates auf die NSPR Version 4.20 stehen ebenfalls bereit.
Version 3 (2019-01-02 11:31)
Für openSUSE Leap 15.0 steht ein Sicherheitsupdate auf die Mozilla NSS Version 3.40.1 bereit. Zusätzlich zu der hier referenzierten Schwachstelle beheben die Sicherheitsupdates auch die Schwachstelle CVE-2018-12384, die ein entfernter, nicht authentisierter Angreifer ausnutzen kann, um Sicherheitsvorkehrungen zu umgehen und die bereits mit der NSS Version 3.39 behoben wurde. Auch wird die Schwachstelle CVE-2018-0495 adressiert, die ein lokaler, nicht authentisierter Angreifer für das Ausspähen von Informationen nutzen kann. Mozilla NSS 3.40.1 benötigt die Netscape Portable Runtime Library (NSPR) in Version 4.20 oder neuer. Updates auf die NSPR Version 4.20 stehen ebenfalls bereit.
Version 4 (2019-02-15 11:08)
Für openSUSE Leap 15.0 steht ein Sicherheitsupdate für 'mozilla-nss' auf Version 3.41.1 bereit, mit dem die Schwachstelle CVE-2018-12404 erneut adressiert wird.

Betroffene Software

Sicherheit
Systemsoftware

Betroffene Plattformen

Netzwerk
Cloud
Linux
Microsoft

Beschreibung:

Ein lokaler, nicht authentisierter Angreifer kann eine Schwachstelle in NSS ausnutzen, um den Klartext RSA-verschlüsselter Daten zu erhalten. Wenn derselbe RSA-Schlüssel zum Entschlüsseln und Signieren verwendet wird, kann der Angreifer zusätzlich Signaturen fälschen.

Das NSS Team hat Network Security Services (NSS) 3.40.1 als Patch Release für NSS 3.40 zur Mitigation einer Cache Seitenkanal-Variante des Bleichenbacher-Angriffs (CVE-2018-12404) veröffentlicht.

Für Fedora 28 und 29 stehen Sicherheitsupdates auf das NSS 3.40.1 Release im Status 'testing' bereit, um diese Schwachstelle zu beheben.

Schwachstellen:

CVE-2018-12404

Schwachstelle in Network Security Services (NSS) ermöglicht Ausspähen des Klartextes verschlüsselter Informationen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.