Debians sikkerhedsbulletin

DSA-3177-1 mod-gnutls -- sikkerhedsopdatering

Rapporteret den:
10. mar 2015
Berørte pakker:
mod-gnutls
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Debians fejlsporingssystem: Fejl 578663.
I Mitres CVE-ordbog: CVE-2015-2091.
Yderligere oplysninger:

Thomas Klute opdagede at der i mod-gnutls, en Apache-modul som leverer SSL- og TLS-kryptering vha. GnuTls, var en fejl som medførte at serverens klientverifikationstilstand slet ikke blev taget i betragtning, i situationer hvor mappens indstillinger ikke var opsat. Klienter med ugyldige certifikater kunne da udnytte fejlen til at få adgang til den pågældende mappe.

I den stabile distribution (wheezy), er dette problem rettet i version 0.5.10-1.1+deb7u1.

I den ustabile distribution (sid), er dette problem rettet i version 0.6-1.3.

Vi anbefaler at du opgraderer dine mod-gnutls-pakker.