Plusieurs vulnérabilités locales ont été découvertes dans GNUTLS, une implantation de l'ensemble de protocoles SSL/TLS.
Note Le paquet libgnutls13, qui fournit la bibliothèque GNUTLS,
ne contient pas de méthode pour redémarrer automatiquement les services
potentiellement affectés. Vous devrez redémarrer manuellement les services
affectés (principalement Exim, avec /etc/init.d/exim4 restart
) après
l'application de la mise à jour pour rendre ces changements totalement
opérationnels. Vous pouvez également redémarrer le système.
Le projet des expositions et vulnérabilités communes (CVE) identifie les problèmes suivants :
Un débordement de zone mémoire du système de préauthentification impliquant des données de reprise de session trop grandes peut conduire à l'exécution de code arbitraire.
Des hellos de client répétés peuvent entraîner une situation de déni de service de préauthentification à cause du déréférencement d'un pointeur NULL.
Le décodage de données de remplissage du chiffrement avec une longueur d'enregistrement invalide peut faire lire à GNUTLS de la mémoire au-delà de la fin de l'enregistrement reçu. Cela conduit à une situation de déni de service de préauthentification.
Pour la distribution stable (Etch), ces problèmes ont été corrigés dans la version 1.4.4-3+etch1. Les constructions pour l'architecture arm ne sont actuellement pas disponibles et seront publiées plus tard.
Pour la distribution instable (Sid), ces problèmes seront corrigés prochainement.
Nous vous recommandons de mettre à jour vos paquets de GNUTLS.
Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.