Bulletin d'alerte Debian

DLA-2212-1 openconnect -- Mise à jour de sécurité pour LTS

Date du rapport :
16 mai 2020
Paquets concernés :
openconnect
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 960620.
Dans le dictionnaire CVE du Mitre : CVE-2020-12823.
Plus de précisions :

OpenConnect, un logiciel de VPN, était sujet à un dépassement de tampon, provoquant un déni de service (plantage d'application) ou ayant éventuellement un autre impact non précisé, à l’aide de données de certificat contrefaites pour get_cert_name dans gnutls.c.

Pour Debian 8 Jessie, ce problème a été corrigé dans la version 6.00-2+deb8u2.

Nous vous recommandons de mettre à jour vos paquets openconnect.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.