DFN-CERT

Advisory-Archiv

2019-2480: Network Security Services (NSS): Eine Schwachstelle ermöglicht die Ausführung beliebigen Programmcodes mit Benutzerrechten

Historie:

Version 1 (2019-11-26 10:33)
Neues Advisory
Version 2 (2019-11-28 10:14)
Canonical stellt für alle aktuell unterstützten Distributionen Sicherheitsupdates zur Behebung der Schwachstelle in 'nss' bereit. Die Updates stehen damit für Ubuntu 19.10, Ubuntu 19.04, Ubuntu 18.04 LTS und Ubuntu 16.04 LTS sowie Ubuntu 14.04 ESM und Ubuntu 12.04 ESM zur Verfügung.
Version 3 (2019-12-05 10:56)
Für Fedora 30 steht ein neues Sicherheitsupdate in Form des Pakets 'nss-3.47.1-4.fc30' im Status 'testing' bereit, welches das frühere Update FEDORA-2019-4b907b44a9 (Fedora 30, nss-3.47.1-1.fc30) ersetzt, das in den Status 'obsolete' versetzt wurde (Referenz hier entfernt). Auch das erste Update für Fedora 29 befindet sich mittlerweile im Status 'obsolete'. Fedora 29 wird allerdings nicht mehr weiterentwickelt.
Version 4 (2019-12-10 10:10)
Für Red Hat Enterprise Linux 8 und Oracle Linux 8 stehen Sicherheitsupdates bereit, mit denen die Schwachstelle in 'nss' behoben wird.
Version 5 (2019-12-11 10:32)
Für Red Hat Enterprise Linux 6 stehen Sicherheitsupdates bereit, mit denen die Schwachstelle in 'nss' behoben wird.
Version 6 (2019-12-11 19:47)
Für Oracle Linux 6 steht ein Sicherheitsupdate bereit, welches die Schwachstelle in 'nss' behebt.
Version 7 (2020-02-11 15:55)
Für Red Hat Enterprise Linux 6.6 Advanced Update Support steht ein Sicherheitsupdate bereit, mit dem die Schwachstelle in 'nss' behoben wird.

Betroffene Software

Sicherheit
Systemsoftware

Betroffene Plattformen

Linux
Oracle

Beschreibung:

Ein entfernter, nicht authentisierter Angreifer kann beliebigen Programmcode mit den Rechten des Benutzers einer mit 'nss' kompilierten Anwendung zur Ausführung bringen, indem er speziell präparierte Secure Real-time Transport Protocol (SRTP)-Operationen durchführt.

Der Hersteller bietet die Network Security Services (NSS) Versionen 3.47.1 und 3.44.3 als Sicherheitsupdates an, um diese Schwachstelle zu schließen.

Für Fedora 29, 30 und 31 stehen 'nss-3.47.1-1'-Pakete als Sicherheitsupdates bereit, welche sich derzeit noch im Status 'pending' befinden. Für Debian 8 Jessie (LTS) steht ein Backport-Sicherheitsupdate bereit.

Schwachstellen:

CVE-2019-11745

Schwachstelle in Network Security Services (NSS) ermöglicht Ausführung beliebigen Programmcodes mit Benutzerrechten

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.