Säkerhetsbulletin från Debian
DSA-3191-1 gnutls26 -- säkerhetsuppdatering
- Rapporterat den:
- 2015-03-15
- Berörda paket:
- gnutls26
- Sårbara:
- Ja
- Referenser i säkerhetsdatabaser:
- I Mitres CVE-förteckning: CVE-2015-0282, CVE-2015-0294.
- Ytterligare information:
-
Flera sårbarheter har upptäckts i GnuTLS, ett bibliotek som implementerar TLS- och SSL-protokollen. Projektet Common Vulnerabilities and Exposures identifierar följande problem:
- CVE-2015-0282
GnuTLS verfierar inte RSA PKCS #1-signaturalgoritmen för att matcha signaturalgoritmen i certifikatet, vilket leder till en potentiell nedgradering till en icke tillåten algoritm, vilket inte detekteras.
- CVE-2015-0294
Det rapporterades att GnuTLS inte kontrollerar om de två signaturalgoritmerna matchar vid certifikatsimport.
För den stabila utgåvan (Wheezy) har dessa problem rättats i version 2.12.20-8+deb7u3.
Vi rekommenderar att ni uppgraderar era gnutls26-paket.
- CVE-2015-0282