Bulletin d'alerte Debian

DSA-2441-1 gnutls26 -- Vérification de limites manquante

Date du rapport :
25 mars 2012
Paquets concernés :
gnutls26
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2012-1573.
Plus de précisions :

Matthew Hall a découvert que GNUTLS ne traite pas correctement les structures GenericBlockCipher tronquées imbriquées dans des enregistrements TLS, avec pour conséquence des plantages d'applications utilisant la bibliothèque GNUTLS.

Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 2.8.6-1+squeeze2.

Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 2.12.18-1 du paquet gnutls26 paquet et la version 3.0.17-2 du paquet gnutls28.

Nous vous recommandons de mettre à jour vos paquets gnutls26.