Рекомендация Debian по безопасности

DSA-2866-1 gnutls26 -- уязвимость проверки сертификата

Дата сообщения:
22.02.2014
Затронутые пакеты:
gnutls26
Уязвим:
Да
Ссылки на базы данных по безопасности:
В каталоге Mitre CVE: CVE-2014-1959.
Более подробная информация:

Суман Джана сообщил, что GnuTLS, в противоположность поведению, описанному в документации, по умолчанию рассматривает промежуточный сертификат версии 1 в качестве сертификата центра сертификации.

Предыдущий стабильный выпуск (squeeze) не подвержен данной проблеме, поскольку в нём доверенные сертификаты центра сертификации стандарта X.509 версии 1 по умолчанию не разрешены.

В стабильном выпуске (wheezy) эта проблема была исправлена в версии 2.12.20-8.

В тестируемом (jessie) и нестабильном (sid) выпусках эта проблема была исправлена в версии 2.12.23-12.

Рекомендуется обновить пакеты gnutls26.