Debians sikkerhedsbulletin

DSA-3034-1 iceweasel -- sikkerhedsopdatering

Rapporteret den:
25. sep 2014
Berørte pakker:
iceweasel
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Mitres CVE-ordbog: CVE-2014-1568.
Yderligere oplysninger:

Antoine Delignat-Lavaud fra Inria opdagede et problem med den måde, NSS (biblioteket Mozilla Network Security Service, medfølgende Wheezys Iceweasel-pakke) fortolkede ASN.1-data anvendt i signaturer, hvilket gjorde det sårbarhed over for et signaturforfalskningsangreb.

En angriber kunne fabrikere ASN.1-data for at forfalske RSA-certifikater med en gyldig certifikatkæde til en CA, der er tillid til.

I den stabile distribution (wheezy), er dette problem rettet i version 24.8.1esr-1~deb7u1.

I distributionen testing (jessie) og i den ustabile distribution (sid), anvender Iceweasel systemets NSS-bibliotek, som opdateres via DSA 3033-1.

Vi anbefaler at du opgraderer dine iceweasel-pakker.