Debians sikkerhedsbulletin

DSA-2944-1 gnutls26 -- sikkerhedsopdatering

Rapporteret den:
1. jun 2014
Berørte pakker:
gnutls26
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Mitres CVE-ordbog: CVE-2014-3466.
Yderligere oplysninger:

Joonas Kuorilehto opdagede at GNU TLS udførte utilstrækkelig validering af sessions-id'er under TLS/SSL-handshakes. En ondsindet server kunne anvende det til at udføre vilkårlig kode eller iværksætte lammelsesangreb (denial of service).

I den stabile distribution (wheezy), er dette problem rettet i version 2.12.20-8+deb7u2.

I den ustabile distribution (sid), er dette problem rettet i version 2.12.23-16.

Vi anbefaler at du opgraderer dine gnutls26-pakker.