L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base et des outils pour y remédier.

Vulnérabilités informatiques de NSS

alerte de vulnérabilité informatique CVE-2017-7805

Mozilla NSS : utilisation de mémoire libérée via Verifying Client Authentication

Synthèse de la vulnérabilité

Un attaquant peut provoquer l'utilisation d'une zone mémoire libérée via Verifying Client Authentication de Mozilla NSS, afin de mener un déni de service, et éventuellement d'exécuter du code.
Produits concernés : Debian, Fedora, Firefox, NSS, SeaMonkey, openSUSE Leap, Oracle Communications, Oracle Fusion Middleware, Oracle GlassFish Server, Oracle Identity Management, Solaris, Tuxedo, Oracle Virtual Directory, WebLogic, RHEL, Slackware, SUSE Linux Enterprise Desktop, SLES, Ubuntu.
Gravité : 4/4.
Conséquences : accès/droits utilisateur, déni de service du service, déni de service du client.
Provenance : document.
Date création : 29/09/2017.
Références : bulletinoct2017, cpuapr2018, cpuoct2018, CVE-2017-7805, DLA-1118-1, DLA-1138-1, DSA-3987-1, DSA-3998-1, FEDORA-2017-2e7badfe67, FEDORA-2017-6e2071419d, FEDORA-2019-7f7489dc8c, MFSA-2017-21, MFSA-2017-22, openSUSE-SU-2017:2615-1, openSUSE-SU-2017:2707-1, openSUSE-SU-2017:2710-1, RHSA-2017:2831-01, RHSA-2017:2832-01, SSA:2017-271-01, SSA:2019-247-01, SUSE-SU-2017:2688-1, SUSE-SU-2017:2872-1, SUSE-SU-2017:2872-2, USN-3431-1, USN-3435-1, USN-3435-2, USN-3436-1, VIGILANCE-VUL-23976.

Description de la vulnérabilité

Un attaquant peut provoquer l'utilisation d'une zone mémoire libérée via Verifying Client Authentication de Mozilla NSS, afin de mener un déni de service, et éventuellement d'exécuter du code.
Bulletin Vigil@nce complet... (Essai gratuit)

annonce de vulnérabilité informatique CVE-2017-11695 CVE-2017-11696 CVE-2017-11697

Mozilla NSS : quatre vulnérabilités

Synthèse de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de Mozilla NSS.
Produits concernés : NSS.
Gravité : 3/4.
Conséquences : accès/droits utilisateur, déni de service du service, déni de service du client.
Provenance : document.
Nombre de vulnérabilités dans ce bulletin : 4.
Date création : 11/08/2017.
Références : CVE-2017-11695, CVE-2017-11696, CVE-2017-11697, CVE-2017-11698, VIGILANCE-VUL-23517.

Description de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans Mozilla NSS.

Un attaquant peut provoquer un buffer overflow via alloc_segs(), afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:3/4; CVE-2017-11695]

Un attaquant peut provoquer un buffer overflow via __hash_open(), afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:3/4; CVE-2017-11696]

Un attaquant peut provoquer une erreur fatale via __hash_open(), afin de mener un déni de service. [grav:2/4; CVE-2017-11697]

Un attaquant peut provoquer un buffer overflow via __get_page(), afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:3/4; CVE-2017-11698]
Bulletin Vigil@nce complet... (Essai gratuit)

avis de vulnérabilité CVE-2016-9574

Mozilla NSS : déni de service via SessionTicket Extension

Synthèse de la vulnérabilité

Un attaquant peut provoquer une erreur fatale via SessionTicket Extension de Mozilla NSS, afin de mener un déni de service.
Produits concernés : NSS, openSUSE Leap, SUSE Linux Enterprise Desktop, SLES.
Gravité : 2/4.
Conséquences : déni de service du service, déni de service du client.
Provenance : client internet.
Date création : 21/04/2017.
Références : 1015499, CVE-2016-9574, MFSA-2017-10, openSUSE-SU-2017:1088-1, SUSE-SU-2017:1175-1, SUSE-SU-2017:1248-1, VIGILANCE-VUL-22534.

Description de la vulnérabilité

Un attaquant peut provoquer une erreur fatale via SessionTicket Extension de Mozilla NSS, afin de mener un déni de service.
Bulletin Vigil@nce complet... (Essai gratuit)

vulnérabilité informatique CVE-2017-5461 CVE-2017-5462

Mozilla NSS : deux vulnérabilités

Synthèse de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de Mozilla NSS.
Produits concernés : Blue Coat CAS, Debian, Fedora, Firefox, NSS, Thunderbird, openSUSE Leap, Oracle Communications, Oracle Directory Server, Oracle Directory Services Plus, Oracle Fusion Middleware, Oracle Identity Management, Oracle iPlanet Web Server, Solaris, Tuxedo, WebLogic, Oracle Web Tier, RHEL, Slackware, SUSE Linux Enterprise Desktop, SLES, Symantec Content Analysis, Ubuntu.
Gravité : 4/4.
Conséquences : accès/droits utilisateur, déni de service du client.
Provenance : document.
Nombre de vulnérabilités dans ce bulletin : 2.
Date création : 20/04/2017.
Références : bulletinapr2017, bulletinjan2019, CERTFR-2017-AVI-126, CERTFR-2017-AVI-134, cpujan2018, cpuoct2017, CVE-2017-5461, CVE-2017-5462, DLA-906-1, DLA-946-1, DSA-3831-1, DSA-3872-1, FEDORA-2017-31c64a0bbf, FEDORA-2017-82265ed89e, FEDORA-2017-87e23bcc34, FEDORA-2017-9042085060, MFSA-2017-10, MFSA-2017-11, MFSA-2017-12, MFSA-2017-13, openSUSE-SU-2017:1099-1, openSUSE-SU-2017:1196-1, openSUSE-SU-2017:1268-1, RHSA-2017:1100-01, RHSA-2017:1101-01, RHSA-2017:1102-01, RHSA-2017:1103-01, SA150, SSA:2017-112-01, SSA:2017-114-01, SUSE-SU-2017:1175-1, SUSE-SU-2017:1248-1, SUSE-SU-2017:1669-1, SUSE-SU-2017:2235-1, USN-3260-1, USN-3260-2, USN-3270-1, USN-3278-1, USN-3372-1, VIGILANCE-VUL-22505.

Description de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de Mozilla NSS.

Un attaquant peut provoquer un buffer overflow via Base64 Decoding, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; CVE-2017-5461]

Un attaquant peut contourner les mesures de sécurité via DRBG Number Generation, afin d'obtenir des informations sensibles. [grav:2/4; CVE-2017-5462]
Bulletin Vigil@nce complet... (Essai gratuit)

annonce de vulnérabilité 21582

Mozilla NSS : mise à jour de la liste d'autorités de certification

Synthèse de la vulnérabilité

La sécurité de Mozilla NSS a été améliorée avec une liste de certificats racine mise à jour.
Produits concernés : Fedora, NSS.
Gravité : 1/4.
Conséquences : sans conséquence.
Provenance : client internet.
Date création : 16/01/2017.
Références : FEDORA-2017-0b50f61ab2, FEDORA-2017-9784ee67f2, VIGILANCE-VUL-21582.

Description de la vulnérabilité

Ce bulletin concerne une amélioration de la sécurité.

Il ne décrit pas une vulnérabilité.

La sécurité de Mozilla NSS a été améliorée avec une liste de certificats racine mise à jour.
Bulletin Vigil@nce complet... (Essai gratuit)

bulletin de vulnérabilité informatique CVE-2016-8635

Mozilla NSS : obtention d'information via Small Subgroup Confinement Attack

Synthèse de la vulnérabilité

Un attaquant peut contourner les restrictions d'accès aux données via Small Subgroup Confinement Attack de Mozilla NSS, afin d'obtenir des informations sensibles.
Produits concernés : Blue Coat CAS, Security Directory Server, NSS, RHEL, SUSE Linux Enterprise Desktop, SLES, Ubuntu.
Gravité : 2/4.
Conséquences : lecture de données.
Provenance : LAN.
Date création : 16/11/2016.
Références : 1391818, 2000347, CVE-2016-8635, RHSA-2016:2779-01, SA137, SUSE-SU-2017:1175-1, SUSE-SU-2017:1248-1, SYMSA1391, USN-3163-1, VIGILANCE-VUL-21128.

Description de la vulnérabilité

Un attaquant peut contourner les restrictions d'accès aux données via Small Subgroup Confinement Attack de Mozilla NSS, afin d'obtenir des informations sensibles.
Bulletin Vigil@nce complet... (Essai gratuit)

annonce de vulnérabilité informatique CVE-2016-5285

Mozilla NSS : déréférencement de pointeur NULL via PK11_SignWithSymKey

Synthèse de la vulnérabilité

Un attaquant peut forcer le déréférencement d'un pointeur NULL via PK11_SignWithSymKey de Mozilla NSS, afin de mener un déni de service.
Produits concernés : Blue Coat CAS, Security Directory Server, NSS, Oracle Communications, RHEL, SUSE Linux Enterprise Desktop, SLES, Ubuntu.
Gravité : 2/4.
Conséquences : déni de service du service, déni de service du client.
Provenance : client internet.
Date création : 16/11/2016.
Références : 1383883, 2000347, cpuoct2017, CVE-2016-5285, RHSA-2016:2779-01, SA137, SUSE-SU-2016:3014-1, SUSE-SU-2016:3080-1, SUSE-SU-2016:3105-1, SYMSA1391, USN-3163-1, VIGILANCE-VUL-21127.

Description de la vulnérabilité

Un attaquant peut forcer le déréférencement d'un pointeur NULL via PK11_SignWithSymKey de Mozilla NSS, afin de mener un déni de service.
Bulletin Vigil@nce complet... (Essai gratuit)

alerte de vulnérabilité informatique CVE-2016-9074

Mozilla NSS : obtention d'information via Timing Side-channel Resistance

Synthèse de la vulnérabilité

Un attaquant peut contourner les restrictions d'accès aux données via Timing Side-channel Resistance de Mozilla NSS, afin d'obtenir des informations sensibles.
Produits concernés : Debian, Fedora, Firefox, NSS, SeaMonkey, Thunderbird, openSUSE, openSUSE Leap, Slackware, SUSE Linux Enterprise Desktop, SLES, Ubuntu.
Gravité : 1/4.
Conséquences : lecture de données.
Provenance : client internet.
Date création : 16/11/2016.
Références : CVE-2016-9074, DLA-730-1, DLA-752-1, DLA-759-1, DSA-3716-1, DSA-3730-1, FEDORA-2016-5bf1a34211, FEDORA-2016-e39b7c826b, MFSA-2016-89, MFSA-2016-93, openSUSE-SU-2016:2861-1, openSUSE-SU-2016:3011-1, SSA:2016-323-01, SUSE-SU-2016:3014-1, SUSE-SU-2016:3080-1, SUSE-SU-2016:3105-1, USN-3163-1, VIGILANCE-VUL-21126.

Description de la vulnérabilité

Un attaquant peut contourner les restrictions d'accès aux données via Timing Side-channel Resistance de Mozilla NSS, afin d'obtenir des informations sensibles.
Bulletin Vigil@nce complet... (Essai gratuit)

annonce de vulnérabilité informatique 20837

Mozilla NSS : mise à jour de la liste d'autorités de certification

Synthèse de la vulnérabilité

La sécurité de Mozilla NSS a été améliorée avec une liste de certificats racine mise à jour.
Produits concernés : Fedora, NSS.
Gravité : 1/4.
Conséquences : sans conséquence.
Provenance : client internet.
Date création : 12/10/2016.
Références : FEDORA-2016-ae6d4b4c33, VIGILANCE-VUL-20837.

Description de la vulnérabilité

Ce bulletin concerne une amélioration de la sécurité.

Il ne décrit pas une vulnérabilité.

La sécurité de Mozilla NSS a été améliorée avec une liste de certificats racine mise à jour.
Bulletin Vigil@nce complet... (Essai gratuit)

bulletin de vulnérabilité informatique 20748

Mozilla NSS, NSPR : élévation de privilèges via SUID

Synthèse de la vulnérabilité

Un attaquant peut dans certaines situations utiliser une variable d'environnement avec un programme suid lié à Mozilla NSS ou NSPR, afin d'élever ses privilèges.
Produits concernés : Debian, NSPR, NSS, openSUSE, openSUSE Leap.
Gravité : 2/4.
Conséquences : accès/droits administrateur, accès/droits privilégié.
Provenance : shell utilisateur.
Date création : 03/10/2016.
Références : 1174015, DLA-676-1, DLA-677-1, DSA-3687-1, DSA-3688-1, openSUSE-SU-2016:0731-1, openSUSE-SU-2016:0733-1, VIGILANCE-VUL-20748.

Description de la vulnérabilité

Les bibliothèques Mozilla NSS et NSPR utilisent des variables d'environnement.

Cependant, si le programme lié à NSS/NSPR est suid, la bibliothèque utilise getenv() au lieu de secure_getenv(). Les variables potentiellement dangereuses ne sont donc pas filtrées.

Un attaquant peut donc dans certaines situations utiliser une variable d'environnement avec un programme suid lié à Mozilla NSS ou NSPR, afin d'élever ses privilèges.
Bulletin Vigil@nce complet... (Essai gratuit)
Notre base de données contient d'autres bulletins. Vous pouvez utiliser un essai gratuit pour les consulter.

Consulter les informations sur NSS :