Рекомендация Debian по безопасности
DSA-3034-1 iceweasel -- обновление безопасности
- Дата сообщения:
- 25.09.2014
- Затронутые пакеты:
- iceweasel
- Уязвим:
- Да
- Ссылки на базы данных по безопасности:
- В каталоге Mitre CVE: CVE-2014-1568.
- Более подробная информация:
-
Антуан Дэлине-Лаву из Inria обнаружил проблему в используемом в NSS (библиотека Mozilla Network Security Service) способе грамматического разбора данных ASN.1, используемых в подписях, что делает NSS уязвимой к атаке через подделку подписи.
Злоумышленник может создать данные ASN.1 для подделки сертификатов RSA, которые будут иметь сертифицированную цепь до доверенного CA.
В стабильном выпуске (wheezy) эта проблема была исправлена в версии 24.8.1esr-1~deb7u1.
В тестируемом (jessie) и нестабильном (sid) выпусках Iceweasel использует системную библиотеку NSS, проблема в которой была исправлена в DSA 3033-1.
Рекомендуется обновить пакеты iceweasel.