GLSA 200905-04: GnuTLS: Multiple vulnerabilities
| Опасность: | средняя |
| Заголовок: | GnuTLS: Multiple vulnerabilities |
| Дата: | 24.05.2009 |
| Ошибки: | |
| ID: | 200905-04 |
Сводка
Multiple vulnerabilities in GnuTLS might result in a Denial of Service, spoofing or the generation of invalid keys.Назначение
GnuTLS is an Open Source implementation of the TLS 1.0 and SSL 3.0 protocols.
Уязвимые пакеты
| Пакет | Уязвимый | Нетронутый | Архитектура(ы) |
|---|---|---|---|
| net-libs/gnutls | < 2.6.6 | >= 2.6.6 | All supported architectures |
Описание
The following vulnerabilities were found in GnuTLS:
- Miroslav Kratochvil reported that lib/pk-libgcrypt.c does not properly handle corrupt DSA signatures, possibly leading to a double-free vulnerability (CVE-2009-1415).
- Simon Josefsson reported that GnuTLS generates RSA keys stored in DSA structures when creating a DSA key (CVE-2009-1416).
- Romain Francoise reported that the _gnutls_x509_verify_certificate() function in lib/x509/verify.c does not perform time checks, resulting in the "gnutls-cli" program accepting X.509 certificates with validity times in the past or future (CVE-2009-1417).
Воздействие
A remote attacker could entice a user or automated system to process a specially crafted DSA certificate, possibly resulting in a Denial of Service condition. NOTE: This issue might have other unspecified impact including the execution of arbitrary code. Furthermore, a remote attacker could spoof signatures on certificates and the "gnutls-cli" application can be tricked into accepting an invalid certificate.
Обход
There is no known workaround at this time.
Решение
All GnuTLS users should upgrade to the latest version:
# emerge --sync
# emerge --ask --oneshot --verbose ">=net-libs/gnutls-2.6.6"
Ссылки
Наличие
Этот GLSA и любые обновления для нее доступны для просмотра на сайте Gentoo Security:
Опасения?
Безопасность является одной из главных задач Gentoo Linux и первостепенное значение обеспечить конфиденциальность и безопасность машин наших пользователей. Любые соображения безопасности должны быть адресованы security@gentoo.org или в качестве альтернативы, вы можете сообщить об ошибке на https://bugs.gentoo.org.
Лицензия
Copyright 2010 Gentoo Foundation, Inc; текст ссылки принадлежит его владельцу(ам). Содержание этого документа распространяется на условиях лицензии Creative Commons - Attribution / Share Alike.