Säkerhetsbulletin från Debian
DSA-2599-1 nss -- felutgivna förmedlade certifikat
- Rapporterat den:
- 2013-01-06
- Berörda paket:
- nss
- Sårbara:
- Ja
- Referenser i säkerhetsdatabaser:
- I Mitres CVE-förteckning: CVE-2013-0743.
- Ytterligare information:
-
Google, Inc. upptäckte att certifikatmyndigheten TurkTrust inkluderade två mellanliggande CAs i Network Security Service-biblioteken felaktigt, vilket kunde användas för att generera illasinnade end-entity-cerifikat. Denna uppdatering tar bort tilliten för dessa två mellanliggande CAs. TurkTrusts två existerande root-CAs är fortfarande aktiva.
För den stabila utgåvan (Squeeze) har detta problem rättats i version 3.12.8-1+squeeze6.
För uttestningsutgåvan (Wheezy) har detta problem rättats i version 2:3.13.6-2.
För den instabila utgåvan (Sid) har detta problem rättats i version 2:3.14.1.with.ckbi.1.93-1.
Vi rekommenderar att ni uppgraderar era nss-paket.