Sikkerhedsoplysninger / 2017 / Sikkerhedsoplysninger -- DSA-3967-1 mbedtls

Debians sikkerhedsbulletin

DSA-3967-1 mbedtls -- sikkerhedsopdatering

Rapporteret den:

8. sep 2017

Berørte pakker:

mbedtls

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Debians fejlsporingssystem: Fejl 873557.
I Mitres CVE-ordbog: CVE-2017-14032.

Yderligere oplysninger:

En sårbarhed i forbindelse med omgåelse af autentifikation, blev opdaget i mbed TLS, et letvægtskrypterings- og SSL-/TLS-bibliotek, når autentifikationsstilstanden var opsat som optional (valgfri). En fjernangriber kunne drage nytte af fejlen til at iværksætte et manden i midten-agnreb og udgive sig for at være en tilsigtet peer, gennem en X.509-certifikatkæde med mange mellemled.

I den stabile distribution (stretch), er dette problem rettet i version 2.4.2-1+deb9u1.

I distributionen testing (buster), er dette problem rettet i version 2.6.0-1.

I den ustabile distribution (sid), er dette problem rettet i version 2.6.0-1.

Vi anbefaler at du opgraderer dine mbedtls-pakker.