Aktualizacja bezpieczeństwa DSA-2869-1 dla pakietu gnutls26 -- niepoprawna weryfikacja certyfikatu

Nikos Mavrogiannopoulos z Red Hat odkrył problem weryfikacji certyfikatu X.509 w GnuTLS, bibliotece SSL/TLS.

Walidacja certyfikatu może być zgłoszona powodzeniem nawet w przypadkach, gdy istnieje błąd uniemożliwiający wszystkie czynności weryfikacyjne do wykonania.

Atakujący wykorzystując metodę man-in-the-middle (ang. człowiek pośrodku) dla połączenia TLS, może wykorzystać tę lukę do podstawienia starannie spreparowanego certyfikatu, który byłby akceptowany przez GnuTLS za ważny, nawet jeśli jest nie podpisany przez jedną z zaufanych instytucji.

Problem został rozwiązany:

  • dla gałęzi starej stabilnej (squeeze) w wersji 2.8.6-1+squeeze3,
  • dla gałęzi stabilny (wheezy) w wersji 2.12.20-8+deb7u1,
  • dla gałęzi testowej (jessie) i niestabilnej (sid) w wersji 2.12.23-13 dla gnutls26 i 3.2.11-2 dla gnutls28.

Zaleca się aktualizację pakietów gnutls26 i gnutls28

Źródło: https://www.debian.org/security/2014/dsa-2869

Dodany: 05 mar 2014 o 15:11
przez: mati75

OSnews Wykop Blip Flaker Kciuk Śledzik Facebook Identi.ca Twitter del.icio.us Google Bookmarks

Komentarze (RSS):

1  Gość: Gość (d15b11f103), dodany: 2014-03-07 05:38 #3440
nazi grramar : "Walidacji certyfikatu"
anie poprawniej i po polsku "Walidacja certyfikatu"

2  azhag, dodany: 2014-03-08 08:59 #3444
Oczywista literówka, dzięki za czujność.

Dodaj komentarz jako gość lub zaloguj się.


Podpis: