Säkerhetsbulletin från Debian

DSA-2869-1 gnutls26 -- felaktig certifikatverifikation

Rapporterat den:
2014-03-03
Berörda paket:
gnutls26
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Mitres CVE-förteckning: CVE-2014-0092.
Ytterligare information:

Nikos Mavrogiannopoulos från Red Hat upptäckte ett problem med verifiering av X.509-certifikat i GnuTLS, ett SSL/TLS-bibliotek. En certifikationvalidering kunde rapporteras som framgångsrikt även i fall där ett fel förhindrade all verifikation att utföras.

En angripare som gör ett man-in-the-middle-angrepp i en TLS-anslutning kunde använda denna sårbarhet för att presentera ett försiktigt skapat certifikat som accepteras av GnuTLS som giltigt även om det inte var signerat av någon av de pålitliga myndigheterna.

För den gamla stabila utgåvan (Squeeze) har detta problem rättats i version 2.8.6-1+squeeze3.

För den stabila utgåvan (Wheezy) har detta problem rättats i version 2.12.20-8+deb7u1.

För uttestningsutgåvan (Jessie) har detta problem rättats i version 2.12.23-13.

För den instabila utgåvan (Sid) har detta problem rättats i version 2.12.23-13.

Vi rekommenderar att ni uppgraderar era gnutls26-paket.