Informations de sécurité / 2014 / Informations sur la sécurité -- DSA-3037-1 icedove

Bulletin d'alerte Debian

DSA-3037-1 icedove -- Mise à jour de sécurité

Date du rapport :

26 septembre 2014

Paquets concernés :

icedove

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2014-1568.

Plus de précisions :

Antoine Delignat-Lavaud de l'Inria a découvert un problème dans la façon dont la bibliothèque Network Security Service de Mozilla (NSS) embarquée dans la version d'Icedove de Wheezy, analysait les données ASN.1 utilisées dans les signatures, la rendant vulnérable à une attaque par signature contrefaite.

Un attaquant pourrait créer des données ASN.1 pour contrefaire des certificats RSA avec une chaîne de certification valide vers une autorité de certification de confiance.

Pour la distribution stable (Wheezy), ce problème a été corrigé dans la version 24.8.1-1~deb7u1.

Pour les distributions testing (Jessie) et unstable (Sid), Icedove utilise la bibliothèque NSS du système, traitée par l'annonce de sécurité DSA 3033-1.

Nous vous recommandons de mettre à jour vos paquets icedove.