Информация по безопасности / 2020 / Информация о безопасности -- DSA-4697-1 gnutls28

Рекомендация Debian по безопасности

DSA-4697-1 gnutls28 -- обновление безопасности

Дата сообщения:

06.06.2020

Затронутые пакеты:

gnutls28

Уязвим:

Да

Ссылки на базы данных по безопасности:

В системе отслеживания ошибок Debian: Ошибка 962289.
В каталоге Mitre CVE: CVE-2020-13777.

Более подробная информация:

Было сообщено об уязвимости в коде создания ключа сеансового удостоверения TLS в GnuTLS, библиотеке, реализующей протоколы TLS и SSL. Уязвимость вызывает ситуацию, при которой TLS-сервер небезопасно создаёт криптографический ключ сеансового удостоверения при использовании переданного приложением закрытого компонента, что позволяет проводить атаку по принципу человек-в-середине для обхода аутентификации в TLS 1.3 и восстанавливать предыдущие сеансы в TLS 1.2.

В стабильном выпуске (buster) эта проблема была исправлена в версии 3.6.7-4+deb10u4.

Рекомендуется обновить пакеты gnutls28.

С подробным статусом поддержки безопасности gnutls28 можно ознакомиться на соответствующей странице отслеживания безопасности по адресу https://security-tracker.debian.org/tracker/gnutls28