Bulletin d'alerte Debian

DSA-4697-1 gnutls28 -- Mise à jour de sécurité

Date du rapport :
6 juin 2020
Paquets concernés :
gnutls28
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 962289.
Dans le dictionnaire CVE du Mitre : CVE-2020-13777.
Plus de précisions :

Un défaut a été signalé dans la construction de la clé de ticket de session TLS dans GnuTLS, une bibliothèque implémentant les protocoles TLS et SSL. Ce défaut faisait que le serveur TLS ne construisait pas de façon sûre la clé de chiffrement de ticket de session compte tenu du secret transmis par l'application, permettant à un attaquant de type « homme du milieu » de contourner l'authentification dans TLS 1.3 et de récupérer des conversations antérieures dans TLS 1.2.

Pour la distribution stable (Buster), ce problème a été corrigé dans la version 3.6.7-4+deb10u4.

Nous vous recommandons de mettre à jour vos paquets gnutls28.

Pour disposer d'un état détaillé sur la sécurité de gnutls28, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/gnutls28.