Рекомендация Debian по безопасности

DLA-62-1 nss -- обновление безопасности LTS

Дата сообщения:
25.09.2014
Затронутые пакеты:
nss
Уязвим:
Да
Ссылки на базы данных по безопасности:
В каталоге Mitre CVE: CVE-2014-1568.
Более подробная информация:

Антуан Делинэ-Лаву из Inria обнаружил проблему в способе, используемом NSS (библиотека Mozilla Network Security Service) для грамматического разбора данных ASN.1, используемых в подписях, что делает эту библиотеку уязвимой к атаке через подделку подписи.

Злоумышленник может сформировать данные ASN.1 для подделки сертификатов RSA, имеющих корректную цепочку сертификатов к доверенному авторитету CA.

Данное обновление исправляет указанную проблему в библиотеках NSS.

Заметьте, что поддержка веб-браузера iceweasel, который также подвержен CVE-2014-1568, в Squeeze(-LTS) прекращена, в нём эта ошибка исправлена не будет.

В Debian 6 Squeeze эти проблемы были исправлены в пакете nss версии 3.12.8-1+squeeze9