Debians sikkerhedsbulletin

DSA-3033-1 nss -- sikkerhedsopdatering

Rapporteret den:
25. sep 2014
Berørte pakker:
nss
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Mitres CVE-ordbog: CVE-2014-1568.
Yderligere oplysninger:

Antoine Delignat-Lavaud fra Inria opdagede et problem med den måde, NSS (biblioteket Mozilla Network Security Service) fortolkede ASN.1-data anvendt i signaturer, hvilket gjorde det sårbarhed over for et signaturforfalskningsangreb.

En angriber kunne fabrikere ASN.1-data for at forfalske RSA-certifikater med en gyldig certifikatkæde til en CA, der er tillid til.

I den stabile distribution (wheezy), er dette problem rettet i version 2:3.14.5-1+deb7u2.

I distributionen testing (jessie), er dette problem rettet i version 2:3.17.1.

I den ustabile distribution (sid), er dette problem rettet i version 2:3.17.1.

Vi anbefaler at du opgraderer dine nss-pakker.