1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
|
#use wml::debian::translation-check translation="d32293c77a10c98be801333f75776edcf7cfad64" mindelta="1"
<define-tag description>sikkerhedsopdatering</define-tag>
<define-tag moreinfo>
<p>Flere sårbarheder blev opdaget i NSS, det kryptografiske bibliotek udviklet
af Mozilla-projektet.</p>
<ul>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-4000">CVE-2015-4000</a>
<p>David Adrian m.fl. rapporterede at det måske kunne betale sig at angribe
Diffie-Hellman-baserede ciphersuiter under visse omstændigheder, hvilket
kompromitterede fortroligheden og integriteten ved data krypteret med
Transport Layer Security (TLS).</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-7181">CVE-2015-7181</a>
<a href="https://security-tracker.debian.org/tracker/CVE-2015-7182">CVE-2015-7182</a>
<a href="https://security-tracker.debian.org/tracker/CVE-2016-1950">CVE-2016-1950</a>
<p>Tyson Smith, David Keeler og Francis Gabriel opdagede et heapbaseret
bufferoverløb i ASN.1 DER-fortolkeren, potentielt førende til udførelse af
vilkårlig kode.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-7575">CVE-2015-7575</a>
<p>Karthikeyan Bhargavan opdagede at TLS-klientimplementeringen accepterede
MD5-baserede signaturer for TLS 1.2-forbindelser med fremadrettet
hemmeligholdelse, hvilket svækkede den tilsigtede sikkerhedstyrke ved
TLS-forbindelser.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-1938">CVE-2016-1938</a>
<p>Hanno Boeck opdagede at NSS fejlberegnede resultatet af en
heltalsdivision ved visse former for inddata. Det kunne svække de
kryptografiske beskyttelser, som NSS stiller til rådighed. Dog
implementerer NSS RSA-CRT-lækagehardening, hvorfor private RSA-nøgler ikke
direkte afsløres direkte på grund af dette problem.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-1978">CVE-2016-1978</a>
<p>Eric Rescorla opdagede en sårbarhed i forbindelse med anvendelse efter
frigivelse i implementeringen af ECDH-baserede TLS-håndtryk, med ukendte
konsekvenser.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-1979">CVE-2016-1979</a>
<p>Tim Taubert opdagede en sårbarhed i forbindelse med anvendelse efter
frigivelse i ASN.1 DER-behandling, med applikationsspecifik
indvirkning.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-2834">CVE-2016-2834</a>
<p>Tyson Smith og Jed Davis opdagede ikke-angivne hukommelsessikkerhedsfejl
i NSS.</p></li>
</ul>
<p>Desuden ignorerede NSS-biblioteket ikke miljøvariabler i processer, som
undergår en SUID/SGID/AT_SECURE-transition ved processtart. I visse
systemopsætninger var det dermed muligt for lokale brugere at forøge deres
rettigheder.</p>
<p>Denne opdatering indeholder yderligere rettelser vedrørende korrekthed og
stabilitet, uden umiddelbar sikkerhedsindvirkning.</p>
<p>I den stabile distribution (jessie), er disse problemer rettet i
version 2:3.26-1+debu8u1.</p>
<p>I den ustabile distribution (sid), er disse problemer rettet i
version 2:3.23-1.</p>
<p>Vi anbefaler at du opgraderer dine nss-pakker.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2016/dsa-3688.data"
|
