Debians sikkerhedsbulletin
DSA-3191-1 gnutls26 -- sikkerhedsopdatering
- Rapporteret den:
- 15. mar 2015
- Berørte pakker:
- gnutls26
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Mitres CVE-ordbog: CVE-2015-0282, CVE-2015-0294.
- Yderligere oplysninger:
-
Adskillige sårbarheder er opdaget i GnuTLS, et bibliotek der implementerer protokollerne TLS og SSL. Projektet Common Vulnerabilities and Exposures har registreret følgende problemer:
- CVE-2015-0282
GnuTLS verificerer ikke RSA PKCS #1-signaturalgoritmen, for at sammenligne den med certifikatets signaturalgoritme, førende til en potentiel nedgradering til en ikke-tilladt algoritme uden at der blev lagt mærke til det.
- CVE-2015-0294
Man rapporterede at GnuTLS ikke kontrollerer hvorvidt de to signaturalgoritmer stemmer overens ved certifikatimportering.
I den stabile distribution (wheezy), er disse problemer rettet i version 2.12.20-8+deb7u3.
Vi anbefaler at du opgraderer dine gnutls26-pakker.
- CVE-2015-0282