Bulletin d'alerte Debian

DSA-2869-1 gnutls26 -- Vérification de certificat incorrecte

Date du rapport :
3 mars 2014
Paquets concernés :
gnutls26
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2014-0092.
Plus de précisions :

Nikos Mavrogiannopoulos de Red Hat a découvert un problème de vérification de certificat X.509 dans GnuTLS, une bibliothèque SSL/TLS. Une validation de certificat pourrait être déclarée réussie même dans le cas où une erreur empêcherait la réalisation de toutes les étapes.

Un attaquant de type « homme du milieu » d'une connexion TLS pourrait utiliser cette vulnérabilité pour présenter un certificat habilement contrefait qui serait considéré valide par GnuTLS, même sans être signé par une des autorités de confiance.

Pour la distribution oldstable (Squeeze), ce problème a été corrigé dans la version 2.8.6-1+squeeze3.

Pour la distribution stable (Wheezy), ce problème a été corrigé dans la version 2.12.20-8+deb7u1.

Pour la distribution testing (Jessie), ce problème a été corrigé dans la version 2.12.23-13.

Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 2.12.23-13.

Nous vous recommandons de mettre à jour vos paquets gnutls26.