Debians sikkerhedsbulletin

DSA-2866-1 gnutls26 -- certifikatverifikationsfejl

Rapporteret den:
22. feb 2014
Berørte pakker:
gnutls26
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Mitres CVE-ordbog: CVE-2014-1959.
Yderligere oplysninger:

Suman Jana rapporterede at GnuTLS, i modsætning til den dokumenterede virkemåde, som standard betragter et version 1 intermediate-certifikat som et CA-certifikat.

Den gamle stabile distribution (squeeze) er ikke påvirket af dette problem, da X.509 version 1 trusted CA-certifikater som standard ikke er tilladt.

I den stabile distribution (wheezy), er dette problem rettet i version 2.12.20-8.

I distributionen testing (jessie) og i den ustabile distribution (sid), er dette problem rettet i version 2.12.23-12.

Vi anbefaler at du opgraderer dine gnutls26-pakker.