Debians sikkerhedsbulletin

DSA-2869-1 gnutls26 -- ukorrekt certifikatverifikation

Rapporteret den:
3. mar 2014
Berørte pakker:
gnutls26
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Mitres CVE-ordbog: CVE-2014-0092.
Yderligere oplysninger:

Nikos Mavrogiannopoulos fra Red Hat opdagede et verifikationsproblem med X.509-certifikater i GnuTLS, et SSL-/TLS-bibliotek. En certifikatvalidering kunne blive rapport som vellykket, selv i tilfælde hvor en fejl forhindrede alle verifikationstrin i at blive udført.

En angriber, der udfører et manden i midten-angreb mod en TLS-forbindelse, kunne anvende sårbarheden til at præsentere et omhyggeligt fremstillet certifikat, der kunne blive accepteret af GnuTLS som gyldigt, selv hvis det ikke er signeret af en certifikatmyndighed, man har tillid til.

I den gamle stabile distribution (squeeze), er dette problem rettet i version 2.8.6-1+squeeze3.

I den stabile distribution (wheezy), er dette problem rettet i version 2.12.20-8+deb7u1.

I distributionen testing (jessie), er dette problem rettet i version 2.12.23-13.

I den ustabile distribution (sid), er dette problem rettet i version 2.12.23-13.

Vi anbefaler at du opgraderer dine gnutls26-pakker.