Рекомендация Debian по безопасности
DSA-3191-1 gnutls26 -- обновление безопасности
- Дата сообщения:
- 15.03.2015
- Затронутые пакеты:
- gnutls26
- Уязвим:
- Да
- Ссылки на базы данных по безопасности:
- В каталоге Mitre CVE: CVE-2015-0282, CVE-2015-0294.
- Более подробная информация:
-
В GnuTLS, библиотеке, реализующей протоколы TLS и SSL, были обнаружены многочисленные уязвимости. Проект Common Vulnerabilities and Exposures определяет следующие проблемы:
- CVE-2015-0282
GnuTLS не осуществляет проверку алгоритма подписи RSA PKCS #1 на предмет совпадения алгоритма подписи в сертификате, что приводит к потенциальному понижению уровня защищённости вплоть до отключения алгоритма без обнаружения изменения уровня защищённости.
- CVE-2015-0294
Было сообщено, что GnuTLS не выполняет проверку совпадения алгоритмов подписей при импорте сертификата.
В стабильном выпуске (wheezy) эти проблемы были исправлены в версии 2.12.20-8+deb7u3.
Рекомендуется обновить пакеты gnutls26.
- CVE-2015-0282