Bulletin d'alerte Debian

DLA-170-1 mod-gnutls -- Mise à jour de sécurité pour LTS

Date du rapport :
14 mars 2015
Paquets concernés :
mod-gnutls
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 578663.
Dans le dictionnaire CVE du Mitre : CVE-2015-2091.
Plus de précisions :

Thomas Klute a découvert que dans mod-gnutls, un module Apache fournissant un chiffrement SSL et TLS avec GnuTLS, un bogue empêchait le mode de vérification du client d'être considéré par le serveur, dans le cas où la configuration du répertoire n'était pas réglée. Les clients ayant des certificats invalides étaient alors capables d'utiliser ce défaut pour obtenir l'accès à ce répertoire.

Pour Debian 6 Squeeze, ces problèmes ont été corrigés dans mod-gnutls version 0.5.6-1+squeeze2