Bulletin d'alerte Debian

DSA-2866-1 gnutls26 -- Défaut de vérification de certificat

Date du rapport :
22 février 2014
Paquets concernés :
gnutls26
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2014-1959.
Plus de précisions :

Suman Jana a signalé que GnuTLS, s'écartant du comportement documenté, considère, par défaut, un certificat de version 1 d'une autorité de certification intermédiaire comme un certificat d'autorité de certification (CA).

La distribution oldstable (Squeeze) n'est pas concernée par ce problème parce que, par défaut, les certificats d'autorité de certification de confiance X.509 version 1 ne sont pas autorisés.

Pour la distribution stable (Wheezy), ce problème a été corrigé dans la version 2.12.20-8.

Pour la distribution testing (Jessie) et la distribution unstable (Sid), ce problème a été corrigé dans la version 2.12.23-12.

Nous vous recommandons de mettre à jour vos paquets gnutls26.