Все бюллетени/c9f1/ALT-PU-2021-1367-1
ALT-PU-2021-1367-1

Обновление пакета nss в ветке c9f1

Версия3.61.0-alt1
Задание#264611
Опубликовано2021-02-18
Макс. серьёзностьCRITICAL
Серьёзность:

Закрытые проблемы (11)

BDU:2020-03953
CRITICAL9.0

Уязвимость компонента Knowledge Management программной интеграционной платформы SAP NetWeaver, позволяющая нарушителю осуществить межсайтовые сценарные атаки

Опубликовано: 2020-08-19Изменено: 2024-09-16
CVSS 3.xКРИТИЧЕСКАЯ 9.0
CVSS:3.x/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:H
CVSS 2.0КРИТИЧЕСКАЯ 10.0
CVSS:2.0/AV:N/AC:L/Au:N/C:C/I:C/A:C
Ссылки
BDU:2020-03960
MEDIUM5.5

Уязвимость функции модульной инверсии набора библиотек NSS (Network Security Services), позволяющая нарушителю получить несанкционированный доступ к защищаемой информации

Опубликовано: 2020-08-19Изменено: 2024-09-16
CVSS 3.xСРЕДНЯЯ 5.5
CVSS:3.x/AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:N
CVSS 2.0СРЕДНЯЯ 4.9
CVSS:2.0/AV:L/AC:L/Au:N/C:N/I:C/A:N
Ссылки
BDU:2020-03961
MEDIUM4.4

Уязвимость набора библиотек NSS (Network Security Services), связанная с использованием криптографического алгоритма ECDSA (Elliptic Curve Digital Signature Algorithm), содержащего дефекты, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации

Опубликовано: 2020-08-19Изменено: 2024-09-16
CVSS 3.xСРЕДНЯЯ 4.4
CVSS:3.x/AV:L/AC:H/PR:L/UI:R/S:U/C:H/I:N/A:N
CVSS 2.0НИЗКАЯ 3.8
CVSS:2.0/AV:L/AC:H/Au:S/C:C/I:N/A:N
Ссылки
BDU:2021-00099
LOW3.7

Уязвимость подписи DSA веб-браузеров программного обеспечения Firefox, Firefox-esr и Thunderbird, связанная с раскрытием информации в результате расхождений, позволяющая нарушителю получить доступ к конфиденциальным данным

Опубликовано: 2021-01-14Изменено: 2024-09-16
CVSS 3.xНИЗКАЯ 3.7
CVSS:3.x/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:N/A:N
CVSS 2.0НИЗКАЯ 1.2
CVSS:2.0/AV:L/AC:H/Au:N/C:P/I:N/A:N
Ссылки
BDU:2021-05184
HIGH7.5

Уязвимость пакета библиотек для сетевой защиты приложений NSS, связанная с выделением неограниченной памяти, позволяющая нарушителю вызвать отказ в обслуживании

Опубликовано: 2021-10-27Изменено: 2023-11-13
CVSS 3.xВЫСОКАЯ 7.5
CVSS:3.x/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
CVSS 2.0СРЕДНЯЯ 5.0
CVSS:2.0/AV:N/AC:L/Au:N/C:N/I:N/A:P
Ссылки
CVE-2020-12399
MEDIUM4.4

NSS has shown timing differences when performing DSA signatures, which was exploitable and could eventually leak private keys. This vulnerability affects Thunderbird < 68.9.0, Firefox < 77, and Firefox ESR < 68.9.

Опубликовано: 2020-07-09Изменено: 2024-11-21
CVSS 2.0НИЗКАЯ 1.2
CVSS:2.0/AV:L/AC:H/Au:N/C:P/I:N/A:N
CVSS 3.xСРЕДНЯЯ 4.4
CVSS:3.x/CVSS:3.1/AV:L/AC:H/PR:L/UI:R/S:U/C:H/I:N/A:N
Ссылки
CVE-2020-12400
MEDIUM4.7

When converting coordinates from projective to affine, the modular inversion was not performed in constant time, resulting in a possible timing-based side channel attack. This vulnerability affects Firefox < 80 and Firefox for Android < 80.

Опубликовано: 2020-10-08Изменено: 2024-11-21
CVSS 2.0НИЗКАЯ 1.2
CVSS:2.0/AV:L/AC:H/Au:N/C:P/I:N/A:N
CVSS 3.xСРЕДНЯЯ 4.7
CVSS:3.x/CVSS:3.1/AV:L/AC:H/PR:L/UI:N/S:U/C:H/I:N/A:N
Ссылки
CVE-2020-12401
MEDIUM4.7

During ECDSA signature generation, padding applied in the nonce designed to ensure constant-time scalar multiplication was removed, resulting in variable-time execution dependent on secret data. This vulnerability affects Firefox < 80 and Firefox for Android < 80.

Опубликовано: 2020-10-08Изменено: 2024-11-21
CVSS 2.0НИЗКАЯ 1.9
CVSS:2.0/AV:L/AC:M/Au:N/C:P/I:N/A:N
CVSS 3.xСРЕДНЯЯ 4.7
CVSS:3.x/CVSS:3.1/AV:L/AC:H/PR:L/UI:N/S:U/C:H/I:N/A:N
Ссылки
CVE-2020-12403
CRITICAL9.1

A flaw was found in the way CHACHA20-POLY1305 was implemented in NSS in versions before 3.55. When using multi-part Chacha20, it could cause out-of-bounds reads. This issue was fixed by explicitly disabling multi-part ChaCha20 (which was not functioning correctly) and strictly enforcing tag length. The highest threat from this vulnerability is to confidentiality and system availability.

Опубликовано: 2021-05-27Изменено: 2024-11-21
CVSS 2.0СРЕДНЯЯ 6.4
CVSS:2.0/AV:N/AC:L/Au:N/C:P/I:N/A:P
CVSS 3.xКРИТИЧЕСКАЯ 9.1
CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:H
Ссылки
CVE-2020-25648
HIGH7.5

A flaw was found in the way NSS handled CCS (ChangeCipherSpec) messages in TLS 1.3. This flaw allows a remote attacker to send multiple CCS messages, causing a denial of service for servers compiled with the NSS library. The highest threat from this vulnerability is to system availability. This flaw affects NSS versions before 3.58.

Опубликовано: 2020-10-20Изменено: 2024-11-21
CVSS 2.0СРЕДНЯЯ 5.0
CVSS:2.0/AV:N/AC:L/Au:N/C:N/I:N/A:P
CVSS 3.xВЫСОКАЯ 7.5
CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
Ссылки
CVE-2020-6829
MEDIUM5.3

When performing EC scalar point multiplication, the wNAF point multiplication algorithm was used; which leaked partial information about the nonce used during signature generation. Given an electro-magnetic trace of a few signature generations, the private key could have been computed. This vulnerability affects Firefox < 80 and Firefox for Android < 80.

Опубликовано: 2020-10-28Изменено: 2024-11-21
CVSS 2.0СРЕДНЯЯ 5.0
CVSS:2.0/AV:N/AC:L/Au:N/C:P/I:N/A:N
CVSS 3.xСРЕДНЯЯ 5.3
CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N
Ссылки

Закрытые ошибки (3)