Debian セキュリティ勧告

DLA-62-1 nss -- LTS セキュリティ更新

報告日時:
2014-09-25
影響を受けるパッケージ:
nss
危険性:
あり
参考セキュリティデータベース:
Mitre の CVE 辞書: CVE-2014-1568.
詳細:

Inria の Antoine Delignat-Lavaud さんが、署名で利用される ASN.1 データを NSS (Mozilla ネットワークセキュリティサービスライブラリ) が解析する方法に問題を発見しました。 これにより、署名の偽造攻撃に対して脆弱となります。

攻撃者は ASN.1 データを細工し、 信頼されている認証局への有効な証明書チェーンを使って RSA証明書を改ざんすることが可能です。

この更新ではNSSライブラリのこの問題を修正します。

iceweasel にも CVE-2014-1568 の影響がありますが、Squeeze(-LTS) でのサポートは終了しているため修正されないことに注意してください。

Debian 6Squeezeでは、この問題は nss バージョン 3.12.8-1+squeeze9 で修正されています。