Рекомендация Debian по безопасности
DLA-180-1 gnutls26 -- обновление безопасности LTS
- Дата сообщения:
- 25.03.2015
- Затронутые пакеты:
- gnutls26
- Уязвим:
- Да
- Ссылки на базы данных по безопасности:
- В каталоге Mitre CVE: CVE-2014-8155, CVE-2015-0282, CVE-2015-0294.
- Более подробная информация:
-
В GnuTLS, библиотеке, реализующей протоколы TLS и SSL, были обнаружены многочисленные уязвимости. Проект Common Vulnerabilities and Exposures определяет следующие проблемы:
- CVE-2014-8155
Отсутствие проверок даты/времени для сертификатов CA
- CVE-2015-0282
GnuTLS не выполняет проверку совпадения алгоритма подписи RSA PKCS #1 с алгоритмом подписи в сертификате, что приводит к потенциальному использованию запрещённого алгоритма без определения этой ситуации.
- CVE-2015-0294
GnuTLS не выполняет проверку того, что два алгоритма подписи совпадают при импорте сертификата.
В Debian 6
Squeeze
эти проблемы были исправлены в gnutls26 версии 2.8.6-1+squeeze5 - CVE-2014-8155