Säkerhetsbulletin från Debian

DSA-3033-1 nss -- säkerhetsuppdatering

Rapporterat den:
2014-09-25
Berörda paket:
nss
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Mitres CVE-förteckning: CVE-2014-1568.
Ytterligare information:

Antoine Delignat-Lavaud från Inria upptäckte ett problem i sättet som NSS (Mozilla Network Security Service library) tolkar ASN.1-data som används i signaturer, vilket gör det sårbart för signatursförfalskningsangrepp.

En angripare kunde skapa ASN.1-data för att förfalska RSA-certifikat med en giltig valideringskedja till en pålitlig CA.

För den stabila utgåvan (Wheezy) har detta problem rättats i version 2:3.14.5-1+deb7u2.

För uttestningsutgåvan (Jessie) har detta problem rättats i version 2:3.17.1.

För den instabila utgåvan (Sid) har detta problem rättats i version 2:3.17.1.

Vi rekommenderar att ni uppgraderar era nss-paket.