Säkerhetsbulletin från Debian
DSA-3408-1 gnutls26 -- säkerhetsuppdatering
- Rapporterat den:
- 2015-12-01
- Berörda paket:
- gnutls26
- Sårbara:
- Ja
- Referenser i säkerhetsdatabaser:
- I Mitres CVE-förteckning: CVE-2015-8313.
- Ytterligare information:
-
Man har upptäckt att GnuTLS, ett bibliotek som implementerar TLS och SSL-protokollen felaktigt validerar den första byten i paddningen av CBC-lägen. En fjärrangripare kan möjligen dra fördel av denna brist för att utföra ett paddningsorakelsangrepp.
För den gamla stabila utgåvan (Wheezy) har detta problem rättats i version 2.12.20-8+deb7u4.
Vi rekommenderar att ni uppgraderar era gnutls26-paket.