Säkerhetsbulletin från Debian

DSA-2944-1 gnutls26 -- säkerhetsuppdatering

Rapporterat den:
2014-06-01
Berörda paket:
gnutls26
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Mitres CVE-förteckning: CVE-2014-3466.
Ytterligare information:

Joonas Kuorilehto upptäckte att GNU TLS utförde otillräcklig validering av sessions-ID under TLS/SSL-handskakningar. En illasinnad server kunde använda detta för att köra godtycklig kod eller utföra en överbelastning.

För den stabila utgåvan (Wheezy) har detta problem rättats i version 2.12.20-8+deb7u2.

För den instabila utgåvan (Sid) har detta problem rättats i version 2.12.23-16.

Vi rekommenderar att ni uppgraderar era gnutls26-paket.