Рекомендация Debian по безопасности
DSA-3437-1 gnutls26 -- обновление безопасности
- Дата сообщения:
- 09.01.2016
- Затронутые пакеты:
- gnutls26
- Уязвим:
- Да
- Ссылки на базы данных по безопасности:
- В каталоге Mitre CVE: CVE-2015-7575.
- Более подробная информация:
-
Картикеян Бхаргаван и Гаэтан Лёрен из INRIA обнаружили уязвимость в протоколе TLS 1.2, которая позволяет использовать хэширующую функцию MD5 для подписывания пакетов обмена ключами со стороны сервера и аутентификации клиента во время TLS-рукопожатия. В атаках по методу человек-в-середине эта уязвимость может использоваться для коллизионной атаки с целью имитации сервера TLS или аутентифицированного клиента TLS.
Дополнительная информация может быть найдена по адресу https://www.mitls.org/pages/attacks/SLOTH
В предыдущем стабильном выпуске (wheezy) эта проблема была исправлена в версии 2.12.20-8+deb7u5.
Рекомендуется обновить пакеты gnutls26.