L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base et des outils pour y remédier.

alerte cybersécurité CVE-2017-5461 CVE-2017-5462

Mozilla NSS : deux vulnérabilités

Synthèse de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de Mozilla NSS.
Gravité de cette alerte : 4/4.
Nombre de vulnérabilités dans ce bulletin : 2.
Date création : 20/04/2017.
Références de cette alerte : bulletinapr2017, bulletinjan2019, CERTFR-2017-AVI-126, CERTFR-2017-AVI-134, cpujan2018, cpuoct2017, CVE-2017-5461, CVE-2017-5462, DLA-906-1, DLA-946-1, DSA-3831-1, DSA-3872-1, FEDORA-2017-31c64a0bbf, FEDORA-2017-82265ed89e, FEDORA-2017-87e23bcc34, FEDORA-2017-9042085060, MFSA-2017-10, MFSA-2017-11, MFSA-2017-12, MFSA-2017-13, openSUSE-SU-2017:1099-1, openSUSE-SU-2017:1196-1, openSUSE-SU-2017:1268-1, RHSA-2017:1100-01, RHSA-2017:1101-01, RHSA-2017:1102-01, RHSA-2017:1103-01, SA150, SSA:2017-112-01, SSA:2017-114-01, SUSE-SU-2017:1175-1, SUSE-SU-2017:1248-1, SUSE-SU-2017:1669-1, SUSE-SU-2017:2235-1, USN-3260-1, USN-3260-2, USN-3270-1, USN-3278-1, USN-3372-1, VIGILANCE-VUL-22505.
Bulletin Vigil@nce complet... (Essai gratuit)

Description de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de Mozilla NSS.

Un attaquant peut provoquer un buffer overflow via Base64 Decoding, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2017-5461]

Un attaquant peut contourner les mesures de sécurité via DRBG Number Generation, afin d'obtenir des informations sensibles. [grav:2/4; CVE-2017-5462]
Bulletin Vigil@nce complet... (Essai gratuit)

Cet avis de menace concerne les logiciels ou systèmes comme Blue Coat CAS, Debian, Fedora, Firefox, NSS, Thunderbird, openSUSE Leap, Oracle Communications, Oracle Directory Server, Oracle Directory Services Plus, Oracle Fusion Middleware, Oracle Identity Management, Oracle iPlanet Web Server, Solaris, Tuxedo, WebLogic, Oracle Web Tier, RHEL, Slackware, SUSE Linux Enterprise Desktop, SLES, Symantec Content Analysis, Ubuntu.

Notre équipe Vigil@nce a déterminé que la gravité de cette alerte de vulnérabilité est critique.

Le niveau de confiance est de type confirmé par l'éditeur, avec une provenance de document.

Ce bulletin concerne 2 vulnérabilités.

Un attaquant avec un niveau de compétence expert peut exploiter cet avis de menace informatique.

Solutions pour cette menace

Mozilla NSS : version 3.30.1.
La version 3.30.1 est corrigée :
  http://ftp.mozilla.org/pub/security/nss/releases/NSS_3_30_1_RTM/src/

Mozilla NSS : version 3.29.5.
La version 3.29.5 est corrigée :
  http://ftp.mozilla.org/pub/security/nss/releases/NSS_3_29_5_RTM/src/

Mozilla NSS : version 3.21.4.
La version 3.21.4 est corrigée :
  http://ftp.mozilla.org/pub/security/nss/releases/NSS_3_21_4_RTM/src/

Firefox : version 53.
La version 53 est corrigée :
  https://www.mozilla.org/en-US/firefox/new/

Firefox : version 52.1.
La version 52.1 est corrigée :
  https://www.mozilla.org/en-US/firefox/new/

Firefox : version 45.9.
La version 45.9 est corrigée :
  https://www.mozilla.org/en-US/firefox/new/

Mozilla Thunderbird : version 52.1.
La version 52.1 est corrigée :
  https://www.mozilla.org/en-US/thunderbird/all/

Debian 7 : nouveaux paquetages nss.
De nouveaux paquetages sont disponibles :
  Debian 7 : nss 2:3.26-1+debu7u3

Debian 8 : nouveaux paquetages nss.
De nouveaux paquetages sont disponibles :
  Debian 8 : nss 2:3.26-1+debu8u2

Debian : nouveaux paquetages firefox-esr.
De nouveaux paquetages sont disponibles :
  Debian 7 : firefox-esr 45.9.0esr-1~deb7u1
  Debian 8 : firefox-esr 45.9.0esr-1~deb8u1

Fedora 24 : nouveaux paquetages nss-softokn.
De nouveaux paquetages sont disponibles :
  Fedora 24 : nss-softokn 3.29.5-1.0.fc24

Fedora 24 : nouveaux paquetages nss-util.
De nouveaux paquetages sont disponibles :
  Fedora 24 : nss-util 3.29.5-1.0.fc24

Fedora 25 : nouveaux paquetages thunderbird.
De nouveaux paquetages sont disponibles :
  Fedora 25 : thunderbird 52.1.0-1.fc25

Fedora : nouveaux paquetages firefox.
De nouveaux paquetages sont disponibles :
  Fedora 24 : firefox 53.0-2.fc24
  Fedora 25 : firefox 53.0-2.fc25

openSUSE Leap 42 : nouveaux paquetages MozillaFirefox.
De nouveaux paquetages sont disponibles :
  openSUSE Leap 42.1 : MozillaFirefox 52.1.0-61.1
  openSUSE Leap 42.2 : MozillaFirefox 52.1.0-57.6.1

openSUSE Leap 42 : nouveaux paquetages MozillaThunderbird.
De nouveaux paquetages sont disponibles :
  openSUSE Leap 42.1 : MozillaThunderbird 52.1.0-42.1
  openSUSE Leap 42.2 : MozillaThunderbird 52.1.0-41.3.1

Oracle Communications : CPU de octobre 2017.
Un Critical Patch Update est disponible.

Oracle Fusion Middleware : CPU de janvier 2018.
Un Critical Patch Update est disponible :
  https://support.oracle.com/rs?type=doc&id=2325393.1

Oracle Solaris : patch pour logiciels tiers de avril 2017 v2.
Un patch est disponible :
  https://support.oracle.com/rs?type=doc&id=1448883.1

Oracle Solaris : patch pour logiciels tiers de janvier 2019 v3.
Un patch est disponible :
  https://support.oracle.com/rs?type=doc&id=1448883.1

RHEL 5.9 : nouveaux paquetages nss.
De nouveaux paquetages sont disponibles :
  RHEL 5 : nss 3.14.3-11.el5_9

RHEL 5 : nouveaux paquetages nss.
De nouveaux paquetages sont disponibles :
  RHEL 5 : nss 3.21.4-1.el5_11

RHEL 6.2 : nouveaux paquetages nss-util.
De nouveaux paquetages sont disponibles :
  RHEL 6 : nss-util 3.21.4-1.el6_7

RHEL 6, 7 : nouveaux paquetages nss et nss-util.
De nouveaux paquetages sont disponibles :
  RHEL 6 : nss 3.28.4-1.el6_9, nss-util 3.28.4-1.el6_9
  RHEL 7 : nss 3.28.4-1.0.el7_3, nss-util 3.28.4-1.0.el7_3

Slackware : nouveaux paquetages mozilla-firefox 45.9.
De nouveaux paquetages sont disponibles :
  Slackware 14.1 : mozilla-firefox 45.9.0esr-*-1_slack14.1

Slackware : nouveaux paquetages mozilla-firefox 52.1.
De nouveaux paquetages sont disponibles :
  Slackware 14.2 : mozilla-firefox 52.1.0esr-*-1_slack14.2

SUSE LE 11 : nouveaux paquetages MozillaFirefox (04/05/2017).
De nouveaux paquetages sont disponibles :
  SUSE LE 11 SP3 : MozillaFirefox 45.9.0esr-71.2, mozilla-nspr 4.13.1-32.1, mozilla-nss 3.29.5-46.1
  SUSE LE 11 SP4 : MozillaFirefox 45.9.0esr-71.2, mozilla-nspr 4.13.1-32.1, mozilla-nss 3.29.5-46.1

SUSE LE 11 : nouveaux paquetages MozillaFirefox (23/08/2017).
De nouveaux paquetages sont disponibles :
  SUSE LE 11 SP3 : MozillaFirefox 52.2.0esr-72.5.2, mozilla-nss 3.29.5-47.3.2
  SUSE LE 11 SP4 : MozillaFirefox 52.2.0esr-72.5.2, mozilla-nss 3.29.5-47.3.2

SUSE LE 12 : nouveaux paquetages MozillaFirefox (12/05/2017).
De nouveaux paquetages sont disponibles :
  SUSE LE 12 RTM : MozillaFirefox 45.9.0esr-105.1, mozilla-nspr 4.13.1-18.1, mozilla-nss 3.29.5-57.1
  SUSE LE 12 SP1 : MozillaFirefox 45.9.0esr-105.1, java-1_8_0-openjdk 1.8.0.121-23.4, mozilla-nspr 4.13.1-18.1, mozilla-nss 3.29.5-57.1
  SUSE LE 12 SP2 : MozillaFirefox 45.9.0esr-105.1, java-1_8_0-openjdk 1.8.0.121-23.4, mozilla-nspr 4.13.1-18.1, mozilla-nss 3.29.5-57.1

SUSE LE 12 : nouveaux paquetages MozillaFirefox (26/06/2017).
De nouveaux paquetages sont disponibles :
  SUSE LE 12 RTM : MozillaFirefox 52.2.0esr-108.3
  SUSE LE 12 SP1 : MozillaFirefox 52.2.0esr-108.3
  SUSE LE 12 SP2 : MozillaFirefox 52.2.0esr-108.3

SUSE LE 12 : nouveaux paquetages MozillaThunderbird (16/05/2017).
De nouveaux paquetages sont disponibles :
  SUSE LE 12 RTM-SP2 : MozillaThunderbird 52.1.0-30.1

Ubuntu 12.04 : nouveaux paquetages libnss3.
De nouveaux paquetages sont disponibles :
  Ubuntu 12.04 ESM : libnss3 2:3.28.4-0ubuntu0.12.04.1

Ubuntu : nouveaux paquetages firefox.
De nouveaux paquetages sont disponibles :
  Ubuntu 17.04 : firefox 53.0.2+build1-0ubuntu0.17.04.2
  Ubuntu 16.10 : firefox 53.0.2+build1-0ubuntu0.16.10.2
  Ubuntu 16.04 LTS : firefox 53.0.2+build1-0ubuntu0.16.04.2
  Ubuntu 14.04 LTS : firefox 53.0.2+build1-0ubuntu0.14.04.2

Ubuntu : nouveaux paquetages libnss3.
De nouveaux paquetages sont disponibles :
  Ubuntu 17.04 : libnss3 2:3.28.4-0ubuntu0.17.04.1
  Ubuntu 16.10 : libnss3 2:3.28.4-0ubuntu0.16.10.1
  Ubuntu 16.04 LTS : libnss3 2:3.28.4-0ubuntu0.16.04.1
  Ubuntu 14.04 LTS : libnss3 2:3.28.4-0ubuntu0.14.04.1

Ubuntu : nouveaux paquetages thunderbird.
De nouveaux paquetages sont disponibles :
  Ubuntu 17.04 : thunderbird 1:52.1.1+build1-0ubuntu0.17.04.1
  Ubuntu 16.10 : thunderbird 1:52.1.1+build1-0ubuntu0.16.10.1
  Ubuntu 16.04 LTS : thunderbird 1:52.1.1+build1-0ubuntu0.16.04.1
  Ubuntu 14.04 LTS : thunderbird 1:52.1.1+build1-0ubuntu0.14.04.1
Bulletin Vigil@nce complet... (Essai gratuit)

Service de veille sur les vulnérabilités informatiques

Vigil@nce fournit une analyse de vulnérabilités de systèmes. L'équipe Vigil@nce surveille les vulnérabilités informatiques de systèmes et d'applications. Chaque administrateur peut personnaliser la liste des produits pour lesquels il souhaite recevoir des alertes de vulnérabilités. La base de vulnérabilités Vigil@nce contient plusieurs milliers de failles.