Säkerhetsbulletin från Debian

DSA-2599-1 nss -- felutgivna förmedlade certifikat

Rapporterat den:
2013-01-06
Berörda paket:
nss
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Mitres CVE-förteckning: CVE-2013-0743.
Ytterligare information:

Google, Inc. upptäckte att certifikatmyndigheten TurkTrust inkluderade två mellanliggande CAs i Network Security Service-biblioteken felaktigt, vilket kunde användas för att generera illasinnade end-entity-cerifikat. Denna uppdatering tar bort tilliten för dessa två mellanliggande CAs. TurkTrusts två existerande root-CAs är fortfarande aktiva.

För den stabila utgåvan (Squeeze) har detta problem rättats i version 3.12.8-1+squeeze6.

För uttestningsutgåvan (Wheezy) har detta problem rättats i version 2:3.13.6-2.

För den instabila utgåvan (Sid) har detta problem rättats i version 2:3.14.1.with.ckbi.1.93-1.

Vi rekommenderar att ni uppgraderar era nss-paket.