DFN-CERT

Advisory-Archiv

2021-2499: Network Security Services (NSS), Thunderbird, IBM Spectrum Protect Plus, LibreOffice: Eine Schwachstelle ermöglicht das Ausführen beliebigen Programmcodes

Historie:

Version 1 (2021-12-02 12:00)
Neues Advisory
Version 2 (2021-12-02 18:00)
Für Debian 9 Stretch (LTS) steht ein Sicherheitsupdate für 'nss' in Version 2:3.26.2-1.1+deb9u3 bereit, um die Schwachstelle zu beheben. Für Red Hat Enterprise Linux 8.4 Extended Update Support stehen Sicherheitsupdates für 'nss' bereit, um die Schwachstelle zu schließen.
Version 3 (2021-12-03 10:14)
Red Hat veröffentlicht für Red Hat Enterprise Linux for x86_64 und for ARM 64 Extended Update Support 8.2 sowie Red Hat Enterprise Linux Server AUS und TUS 8.2 x86_64 Sicherheitsupdates für 'nss' zur Behebung der Schwachstelle. Für die Distributionen Fedora 34 und 35 wird NSS auf die Version 3.73 konsolidiert und damit die Schwachstelle behoben. Die entsprechenden Pakete befinden sich aktuell im Status 'testing'.
Version 4 (2021-12-06 18:45)
Für Red Hat Enterprise Linux 7.4 Advanced Update Support (AUS) sowie Red Hat Enterprise Linux 7.6 und 7.7 AUS und Telco Extended Update Support (TUS) stehen Sicherheitsupdates zur Behebung der Schwachstelle in 'nss' bereit.
Version 5 (2021-12-07 11:32)
Für Red Hat Enterprise Linux 8.1 und 8.2 Extended Update Support, Oracle Linux 6, openSUSE Leap 15.3, SUSE CaaS Platform 4.0, SUSE Enterprise Storage 6, SUSE Linux Enterprise Debuginfo 11 SP3 und SP4, SUSE Linux Enterprise High Performance Computing 15 und 15 SP1 ESPOS und LTSS, SUSE Linux Enterprise Module for Basesystem 15 SP2 und SP3, SUSE Linux Enterprise Module for Server Applications 15 SP2 und SP3, SUSE Linux Enterprise Server 11 SP4 LTSS, 12 SP2 BCL, 12 SP3 BCL, 12 SP3 LTSS, 12 SP4 LTSS, 12 SP5, 15 LTSS, 15 SP1 BCL und 15 SP1 LTSS, SUSE Linux Enterprise Server for SAP 12 SP3, 12 SP4, 15 und 15 SP1, SUSE Linux Enterprise Software Development Kit 12 SP5, SUSE MicroOS 5.0 und 5.1, SUSE OpenStack Cloud 8 und 9 sowie Cloud Crowbar 8 und 9 stehen Sicherheitsupdates zur Behebung der Schwachstelle in 'nss' bzw. 'mozilla-nss' zur Verfügung. Darüber hinaus veröffentlicht die Document Foundation LibreOffice 7.2.4 und 7.1.8 als Sicherheitsupdates. Beide Versionen beinhalten NSS 3.73.0.
Version 6 (2021-12-08 10:03)
Für Red Hat Enterprise Linux 7.3 Advanced Update Support (AUS) sowie Oracle VM 3 Extended Lifecycle Support (ELS) stehen Sicherheitsupdates zur Behebung der Schwachstelle in 'nss' bereit. Canonical hatte mit USN-5168-3 die Schwachstelle in NSS für Ubuntu 16.04 ESM und Ubuntu 14.04 ESM behoben. Hierbei wurde leider eine Regression eingeführt, durch welche die SSL-Verbingung abbrechen kann. Dieses Problem wird mit einem neuen Sicherheitsupdate behoben. Für Debian 9 Stretch (LTS) wurde die gleichartige Regression eingeführt, welche für 'nss' nun in der Version 2:3.26.2-1.1+deb9u4 behoben wird.
Version 7 (2021-12-08 17:32)
Für Red Hat Virtualization 4 for Red Hat Enterprise Linux 8 steht ein Sicherheitsupdate für 'redhat-release-virtualization-host' und 'redhat-virtualization-host' bereit, um die Schwachstelle zu beheben.
Version 8 (2021-12-17 11:23)
Für openSUSE Leap 15.2 steht ein Sicherheitsupdate für 'mozilla-nss' zur Behebung der Schwachstelle zur Verfügung.
Version 9 (2022-05-18 10:40)
IBM informiert darüber, dass IBM Spectrum Protect Plus in den Versionen 10.1.0.0 bis 10.1.9.3 von der Schwachstelle betroffen ist und diese mit IBM Spectrum Protect Plus 10.1.10 für Linux behoben wurde.
Version 10 (2022-07-25 10:30)
Für SUSE Linux Enterprise Server 12 SP2 BCL, 12 SP3 BCL, 12 SP4 LTSS und 12 SP5, SUSE Linux Enterprise Server for SAP 12 SP4, SUSE Linux Enterprise Server for SAP Applications 12 SP5, SUSE Linux Enterprise Software Development Kit 12 SP5, SUSE OpenStack Cloud 9 und SUSE OpenStack Cloud Crowbar 9 stehen Sicherheitsupdates für 'mozilla-nspr' und 'mozilla-nss' bereit, um die Schwachstelle und elf weitere, nicht sicherheitsrelevante Fehler zu beheben.

Betroffene Software

Datensicherung
Middleware
Office
Server
Sicherheit
Systemsoftware

Betroffene Plattformen

Netzwerk
Cloud
Apple
Linux
Microsoft
Oracle
Virtualisierung
Container

Beschreibung:

Ein Angreifer mit niedrigen Privilegien kann eine Schwachstelle in NSS aus der Ferne ausnutzen, um beliebigen Programmcode auszuführen.

Der Hersteller Mozilla informiert über die Schwachstelle und stuft diese als kritisch (critical) ein. Die Schwachstelle wird mit den Network Security Services (NSS) Versionen 3.73 und 3.68.1 ESR behoben. Darüber hinaus betrifft die Schwachstelle Thunderbird, aber nicht Firefox.

Für Debian 10 Buster (oldstable) steht Version 2:3.42.1-1+deb10u4 und für Debian 11 Bullseye (stable) steht Version 2:3.61-1+deb11u1 von 'nss' bereit, um die Schwachstelle zu beheben.

Für Oracle Linux 7 und 8 stehen Sicherheitsupdates für 'nss' bereit, um die Schwachstelle zu beheben.

Für Red Hat Enterprise Linux 7 (Server, Desktop, Workstation, for Scientific Computing) und 8 sowie Red Hat Enterprise Server 6 Extended Lifecycle Support (ELS) stehen Sicherheitsupdates für 'nss' bereit.

Canonical stellt für Ubuntu 21.10, Ubuntu 21.04, Ubuntu 20.04 LTS und Ubuntu 18.04 LTS Sicherheitsupdates für 'nss' und 'thunderbird' sowie für Ubuntu 16.04 ESM und Ubuntu 14.04 ESM Sicherheitsupdates für 'nss' bereit, um die Schwachstelle zu beheben.

Schwachstellen:

CVE-2021-43527

Schwachstelle in Network Security Services (NSS) ermöglicht Ausführen beliebigen Programmcodes

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.