Информация по безопасности / 2013 / Информация о безопасности -- DSA-2599-1 nss

Рекомендация Debian по безопасности

DSA-2599-1 nss -- неправильно выданые промежуточные сертификаты

Дата сообщения:

06.01.2013

Затронутые пакеты:

nss

Уязвим:

Да

Ссылки на базы данных по безопасности:

В каталоге Mitre CVE: CVE-2013-0743.

Более подробная информация:

Google, Inc. обнаружила, что организация по сертификации TurkTrust, включённая в библиотеки Network Security Service (nss), неправильно выдала два промежуточных сертификата, которые могут использоваться для создания мошеннических конечных сертификатов. Данное обновление явным образом отмечает эти два промежуточных сертификата как ненадёжные. Два существующих корневых сертификата TurkTrust остаются активными.

В стабильном выпуске (squeeze) эта проблема была исправлена в версии 3.12.8-1+squeeze6.

В тестируемом выпуске (wheezy) эта проблема была исправлена в версии 2:3.13.6-2.

В нестабильном выпуске (sid) эта проблема была исправлена в версии 2:3.14.1.with.ckbi.1.93-1.

Рекомендуется обновить пакеты nss.