Säkerhetsbulletin från Debian
DSA-3437-1 gnutls26 -- säkerhetsuppdatering
- Rapporterat den:
- 2016-01-09
- Berörda paket:
- gnutls26
- Sårbara:
- Ja
- Referenser i säkerhetsdatabaser:
- I Mitres CVE-förteckning: CVE-2015-7575.
- Ytterligare information:
-
Karthikeyan Bhargavan och Gaetan Leurent på INRIA upptäckte en brist i TLS 1.2-protokollet som kunde tillåta MD5-hashfunktionen att användas för att signera ServerKeyExchange och klientautentiseringspaket under en TLS-handskakning. En man-in-the-middle-angripare kunde utnyttja denna brist för att utföra kollisionsangrepp för att imitera en TLS-server eller en autentiserad TLS-klient.
Mer information hittar du på https://www.mitls.org/pages/attacks/SLOTH
För den gamla stabila utgåvan (Wheezy) har detta problem rättats i version 2.12.20-8+deb7u5.
Vi rekommenderar att ni uppgraderar era gnutls26-paket.