Debians sikkerhedsbulletin
DSA-3334-1 gnutls28 -- sikkerhedsopdatering
- Rapporteret den:
- 12. aug 2015
- Berørte pakker:
- gnutls28
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Debians fejlsporingssystem: Fejl 795068.
I Mitres CVE-ordbog: CVE-2015-6251. - Yderligere oplysninger:
-
Kurt Roeckx opdagede at dekodning af speficikke certifikater med meget lange DistinguishedName-poster (DN), kunne føre til dobbelt frigivelse. En fjernangriber kunne udnytte fejlen ved at fabrikere et certifikat, som ved behandling af en applikation, kompilet mod GnuTLS, kunne få applikationen til at gå nedm, medførende et lammelsesangreb.
I den stabile distribution (jessie), er dette problem rettet i version 3.3.8-6+deb8u2.
I den ustabile distribution (sid), er dette problem rettet i version 3.3.17-1.
Vi anbefaler at du opgraderer dine gnutls28-pakker.