Bulletin d'alerte Debian
DSA-2866-1 gnutls26 -- Défaut de vérification de certificat
- Date du rapport :
- 22 février 2014
- Paquets concernés :
- gnutls26
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans le dictionnaire CVE du Mitre : CVE-2014-1959.
- Plus de précisions :
-
Suman Jana a signalé que GnuTLS, s'écartant du comportement documenté, considère, par défaut, un certificat de version 1 d'une autorité de certification intermédiaire comme un certificat d'autorité de certification (CA).
La distribution oldstable (Squeeze) n'est pas concernée par ce problème parce que, par défaut, les certificats d'autorité de certification de confiance X.509 version 1 ne sont pas autorisés.
Pour la distribution stable (Wheezy), ce problème a été corrigé dans la version 2.12.20-8.
Pour la distribution testing (Jessie) et la distribution unstable (Sid), ce problème a été corrigé dans la version 2.12.23-12.
Nous vous recommandons de mettre à jour vos paquets gnutls26.