Un problème de sécurité affecte les versions suivantes de Ubuntu :

Ubuntu 8.04 LTS
Ubuntu 8.10
Ubuntu 9.04

Cette notification vaut également pour les versions de Kubuntu, Edubuntu et Xubuntu.

Le problème peut être corrigé par la mise à niveau de votre système avec les versions de paquets suivantes :

Après une mise à niveau standard du système vous devrez redémarrer toutes les applications qui utilisent NSS, telles que Firefox, pour apporter les modifications nécessaires.

Détails :

USN-810-1 a corrigé des vulnérabilités dans NSS. Jozsef Kadlecsik a remarqué que les nouvelles librairies pour amd64 ne positionnaient pas correctement des drapeaux associés à la pile mémoire, et faisait que les applications utilisant NSS (ex. Firefox) avaient une pile exécutable. Ceci réduisait l’efficacité de quelques mesures de sécurité défensives. Cette mise à jour corrige le problème.

Veuillez nous excuser pour le désagrément.

Détails de la notification initiale :

Moxie Marlinspike a découvert que NSS ne gérait pas correctement les expressions régulières dans les noms de certificat. Un attaquant distant pourrait créer un certificat spécialement conçu pour causer un déni de service (via plantage d’application) ou exécuter du code arbitraire en tant qu’utilisateur exécutant l’application. (CVE-2009-2404)

Moxie Marlinspike et Dan Kaminsky ont indépendamment découvert que NSS ne gérait pas correctement les certificats ayant des caractères NULL dans le nom de certificat. Un attaquant pourrait exploiter ceci pour faire une attaque de l’homme du milieu pour visualiser des informations sensibles ou altérer des communications chiffrées. (CVE-2009-2408)

Dan Kaminsky a découvert que NSS accepterait toujours les certificats avec des signatures à base de hachage MD2. En conséquence, un attaquant pourrait potentiellement créer un certificat de confiance malveillant pour usurper un autre site. (CVE-2009-2409)

Origine : USN-810-3: Régression dans NSS (http://www.ubuntu.com/usn/usn-810-3)