Долгосрочная поддержка Debian / Информация о безопасности LTS / 2015 / Информация о безопасности -- DLA-180-1 gnutls26

Рекомендация Debian по безопасности

DLA-180-1 gnutls26 -- обновление безопасности LTS

Дата сообщения:

25.03.2015

Затронутые пакеты:

gnutls26

Уязвим:

Да

Ссылки на базы данных по безопасности:

В каталоге Mitre CVE: CVE-2014-8155, CVE-2015-0282, CVE-2015-0294.

Более подробная информация:

В GnuTLS, библиотеке, реализующей протоколы TLS и SSL, были обнаружены многочисленные уязвимости. Проект Common Vulnerabilities and Exposures определяет следующие проблемы:

• CVE-2014-8155

  Отсутствие проверок даты/времени для сертификатов CA

• CVE-2015-0282

  GnuTLS не выполняет проверку совпадения алгоритма подписи RSA PKCS #1 с алгоритмом подписи в сертификате, что приводит к потенциальному использованию запрещённого алгоритма без определения этой ситуации.

• CVE-2015-0294

  GnuTLS не выполняет проверку того, что два алгоритма подписи совпадают при импорте сертификата.

В Debian 6 Squeeze эти проблемы были исправлены в gnutls26 версии 2.8.6-1+squeeze5