Информация по безопасности / 2017 / Информация о безопасности -- DSA-3967-1 mbedtls

Рекомендация Debian по безопасности

DSA-3967-1 mbedtls -- обновление безопасности

Дата сообщения:

08.09.2017

Затронутые пакеты:

mbedtls

Уязвим:

Да

Ссылки на базы данных по безопасности:

В системе отслеживания ошибок Debian: Ошибка 873557.
В каталоге Mitre CVE: CVE-2017-14032.

Более подробная информация:

В mbed TLS, лёгковесной библиотеке поддержки криптографии и SSL/TLS, была обнаружена уязвимость, позволяющая обходить аутентификацию в случае, если режим аутентификации установлен в значение optional. Удалённый злоумышленник может использовать эту уязвимость для выполнения атак по принципу человек-в-середине и для того, чтобы выдавать себя за определённый одноранговый узел сети, используя цепочку сертификатов X.509 с большим числом промежуточных звеньев.

В стабильном выпуске (stretch) эта проблема была исправлена в версии 2.4.2-1+deb9u1.

В тестируемом выпуске (buster) эта проблема была исправлена в версии 2.6.0-1.

В нестабильном выпуске (sid) эта проблема была исправлена в версии 2.6.0-1.

Рекомендуется обновить пакеты mbedtls.