Informations de sécurité / 2015 / Informations sur la sécurité -- DSA-3177-1 mod-gnutls

Bulletin d'alerte Debian

DSA-3177-1 mod-gnutls -- Mise à jour de sécurité

Date du rapport :

10 mars 2015

Paquets concernés :

mod-gnutls

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le système de suivi des bogues Debian : Bogue 578663.
Dans le dictionnaire CVE du Mitre : CVE-2015-2091.

Plus de précisions :

Thomas Klute a découvert que dans mod-gnutls, un module Apache fournissant un chiffrement SSL et TLS avec GnuTLS, un bogue empêchait le mode de vérification du client d'être considéré par le serveur, dans le cas où la configuration du répertoire n'était pas réglée. Les clients ayant des certificats invalides étaient alors capables d'utiliser ce défaut pour obtenir l'accès à ce répertoire.

Pour la distribution stable (Wheezy), ce problème a été corrigé dans la version 0.5.10-1.1+deb7u1.

Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 0.6-1.3.

Nous vous recommandons de mettre à jour vos paquets mod-gnutls.