Säkerhetsbulletin från Debian

DSA-3177-1 mod-gnutls -- säkerhetsuppdatering

Rapporterat den:
2015-03-10
Berörda paket:
mod-gnutls
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Debians felrapporteringssystem: Fel 578663.
I Mitres CVE-förteckning: CVE-2015-2091.
Ytterligare information:

Thomas Klute upptäckte att mod-gnutls, en Apache-modul som tillhandahåller SSL- och TLS-kryptering med GnuTLS, hade ett fel som orsakar serverns klientverifieringläge att inte beaktas alls, om en mapps konfiguration inte var satt. Klienter med ogiltiga certifikat kunde sedan utnyttja denna brist för att få åtkomst till en sådan mapp.

För den stabila utgåvan (Wheezy) har detta problem rättats i version 0.5.10-1.1+deb7u1.

För den instabila utgåvan (Sid) har detta problem rättats i version 0.6-1.3.

Vi rekommenderar att ni uppgraderar era mod-gnutls-paket.