Рекомендация Debian по безопасности

DLA-180-1 gnutls26 -- обновление безопасности LTS

Дата сообщения:
25.03.2015
Затронутые пакеты:
gnutls26
Уязвим:
Да
Ссылки на базы данных по безопасности:
В каталоге Mitre CVE: CVE-2014-8155, CVE-2015-0282, CVE-2015-0294.
Более подробная информация:

В GnuTLS, библиотеке, реализующей протоколы TLS и SSL, были обнаружены многочисленные уязвимости. Проект Common Vulnerabilities and Exposures определяет следующие проблемы:

  • CVE-2014-8155

    Отсутствие проверок даты/времени для сертификатов CA

  • CVE-2015-0282

    GnuTLS не выполняет проверку совпадения алгоритма подписи RSA PKCS #1 с алгоритмом подписи в сертификате, что приводит к потенциальному использованию запрещённого алгоритма без определения этой ситуации.

  • CVE-2015-0294

    GnuTLS не выполняет проверку того, что два алгоритма подписи совпадают при импорте сертификата.

В Debian 6 Squeeze эти проблемы были исправлены в gnutls26 версии 2.8.6-1+squeeze5