Säkerhetsbulletin från Debian

DSA-3034-1 iceweasel -- säkerhetsuppdatering

Rapporterat den:
2014-09-25
Berörda paket:
iceweasel
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Mitres CVE-förteckning: CVE-2014-1568.
Ytterligare information:

Antoine Delignat-Lavaud från Inria upptäckte ett problem i sättet som NSS (Mozilla Network Security Service library, inbäddat i Wheezy's Iceweaselpaket) tolkar ASN.1-data som används i signaturer, vilket gör det sårbart för signatursförfalskningsangrepp.

En angripare kunde skapa ASN.1-data för att förfalska RSA-certifikat med en giltig valideringskedja till en pålitlig CA.

För den stabila utgåvan (Wheezy) har detta problem rättats i version 24.8.1esr-1~deb7u1.

För uttestningsutgåvan (Jessie) och den instabila utgåvan (Sid), använder Iceweasel systemets NSS-bibliotek, som hanteras i DSA 3033-1.

Vi rekommenderar att ni uppgraderar era iceweasel-paket.