Bulletin d'alerte Debian
DSA-2441-1 gnutls26 -- Vérification de limites manquante
- Date du rapport :
- 25 mars 2012
- Paquets concernés :
- gnutls26
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans le dictionnaire CVE du Mitre : CVE-2012-1573.
- Plus de précisions :
-
Matthew Hall a découvert que GNUTLS ne traite pas correctement les structures GenericBlockCipher tronquées imbriquées dans des enregistrements TLS, avec pour conséquence des plantages d'applications utilisant la bibliothèque GNUTLS.
Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 2.8.6-1+squeeze2.
Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 2.12.18-1 du paquet gnutls26 paquet et la version 3.0.17-2 du paquet gnutls28.
Nous vous recommandons de mettre à jour vos paquets gnutls26.