Säkerhetsinformation / 2015 / Säkerhetsinformation -- DSA-3334-1 gnutls28

Säkerhetsbulletin från Debian

DSA-3334-1 gnutls28 -- säkerhetsuppdatering

Rapporterat den:

2015-08-12

Berörda paket:

gnutls28

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Debians felrapporteringssystem: Fel 795068.
I Mitres CVE-förteckning: CVE-2015-6251.

Ytterligare information:

Kurt Roeckx upptäckte att dekodning av en specifikt certifikat med väldigt långt DistinguishedName-poster (DN) leder till en dubbel frigörning. En fjärrangripare kan dra nytta av denna brist genom att skapa ett speciellt skapat certifikat som kunde orsaka applikationen att krascha när den behandlas av en applikation som kompilerats mot GnuTLS, vilket resulterar i en överbelastning.

För den stabila utgåvan (Jessie) har detta problem rättats i version 3.3.8-6+deb8u2.

För den instabila utgåvan (Sid) har detta problem rättats i version 3.3.17-1.

Vi rekommenderar att ni uppgraderar era gnutls28-paket.