Säkerhetsbulletin från Debian
DSA-3037-1 icedove -- säkerhetsuppdatering
- Rapporterat den:
- 2014-09-26
- Berörda paket:
- icedove
- Sårbara:
- Ja
- Referenser i säkerhetsdatabaser:
- I Mitres CVE-förteckning: CVE-2014-1568.
- Ytterligare information:
-
Antoine Delignat-Lavaud från Inria upptäckte ett problem i sättet som NSS (Mozilla Network Security Service-biblioteket, inbäddat i Wheezy's Icedove), tolkar ASN.1-data som används i signaturer, vilket gör det sårbart för en signatursförfalskningsattack.
En angripare kunde skapa ASN.1-data för att förfalska RSA-certifikat med en giltig certifieringskedja till en pålitlig CA.
För den stabila utgåvan (Wheezy) har detta problem rättats i version 24.8.1-1~deb7u1.
För uttestningsutgåvan (Jessie) och den instabila utgåvan (Sid), använder Icedove systemets NSS-biblioetek, som hanterades i DSA 3033-1.
Vi rekommenderar att ni uppgraderar era icedove-paket.