Debian セキュリティ勧告

DSA-2869-1 gnutls26 -- 証明書検証の誤り

報告日時:
2014-03-03
影響を受けるパッケージ:
gnutls26
危険性:
あり
参考セキュリティデータベース:
Mitre の CVE 辞書: CVE-2014-0092.
詳細:

Red Hat の Nikos Mavrogiannopoulos さんが GnuTLS、SSL/TLS ライブラリの X.509 証明書検証に問題を発見しました。 証明書の検証でエラーが発生した場合でも成功したと報告する可能性があり、 検証処理を全て実行しないことがあります。

TLS 接続の間で中間者攻撃を行う攻撃者がこの脆弱性により巧妙に細工した証明書を作成し、 信頼している認証局により署名されていない場合でも GnuTLS がそれを受け入れる可能性があります。

旧安定版 (oldstable) ディストリビューション (squeeze) では、この問題はバージョン 2.8.6-1+squeeze3 で修正されています。

安定版 (stable) ディストリビューション (wheezy) では、この問題はバージョン 2.12.20-8+deb7u1 で修正されています。

テスト版 (testing) ディストリビューション (jessie) では、この問題はバージョン 2.12.23-13 で修正されています。

不安定版 (unstable) ディストリビューション (sid) では、この問題はバージョン 2.12.23-13 で修正されています。

直ちに gnutls26 パッケージをアップグレードすることを勧めます。