Säkerhetsbulletin från Debian

DSA-3191-1 gnutls26 -- säkerhetsuppdatering

Rapporterat den:
2015-03-15
Berörda paket:
gnutls26
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Mitres CVE-förteckning: CVE-2015-0282, CVE-2015-0294.
Ytterligare information:

Flera sårbarheter har upptäckts i GnuTLS, ett bibliotek som implementerar TLS- och SSL-protokollen. Projektet Common Vulnerabilities and Exposures identifierar följande problem:

  • CVE-2015-0282

    GnuTLS verfierar inte RSA PKCS #1-signaturalgoritmen för att matcha signaturalgoritmen i certifikatet, vilket leder till en potentiell nedgradering till en icke tillåten algoritm, vilket inte detekteras.

  • CVE-2015-0294

    Det rapporterades att GnuTLS inte kontrollerar om de två signaturalgoritmerna matchar vid certifikatsimport.

För den stabila utgåvan (Wheezy) har dessa problem rättats i version 2.12.20-8+deb7u3.

Vi rekommenderar att ni uppgraderar era gnutls26-paket.