LTS — Prise en charge à long terme de Debian / LTS — Informations de sécurité / 2015 / Informations sur la sécurité -- DLA-180-1 gnutls26

Bulletin d'alerte Debian

DLA-180-1 gnutls26 -- Mise à jour de sécurité pour LTS

Date du rapport :

25 mars 2015

Paquets concernés :

gnutls26

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2014-8155, CVE-2015-0282, CVE-2015-0294.

Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans GnuTLS, une bibliothèque implémentant les protocoles TLS et SSL. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.

• CVE-2014-8155

  Absence de vérification de date et heure des certificats d'autorité de certification (CA)

• CVE-2015-0282

  GnuTLS ne vérifie pas l'algorithme de signature RSA PKCS #1 pour faire correspondre l'algorithme de signature dans le certificat, menant à une potentielle baisse de niveau vers un algorithme non permis sans le détecter.

• CVE-2015-0294

  GnuTLS ne vérifie pas si les deux algorithmes de signature correspondaient lors de l'import de certificat.

Pour Debian 6 Squeeze, ces problèmes ont été corrigé dans gnutls26 version 2.8.6-1+squeeze5