Bulletin d'alerte Debian

DSA-2944-1 gnutls26 -- Mise à jour de sécurité

Date du rapport :
1er juin 2014
Paquets concernés :
gnutls26
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2014-3466.
Plus de précisions :

Joonas Kuorilehto a découvert que GNU TLS réalisait une validation insuffisante des identifiants de session lors de l'établissement de connexions TLS/SSL. Un serveur malveillant pourrait utiliser cela pour exécuter du code arbitraire ou réaliser un déni de service.

Pour la distribution stable (Wheezy), ce problème a été corrigé dans la version 2.12.20-8+deb7u2.

Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 2.12.23-16.

Nous vous recommandons de mettre à jour vos paquets gnutls26.