• Все разделы
  • Статьи
  • Медиа
  • Новости
  • Нормативные материалы
  • Конференции
  • Глоссарий

Уведомление безопасности SUSE-SU-2014:0322-1: обновление gnutls

Главная Специалистам База уязвимостей Уведомление безопасности SUSE-SU-2014:0322-1: обновление gnutls

Карточка уязвимости

Характеристики уязвимости

Уровень опасности
Оценка CVSS
(AV:N/AC:M/Au:N/C:P/I:P/A:N)
Производитель ПО
Наименование ПО
Описание
В библиотеке GnuTLS устранены критические уязвимости и добавлены обновления:

   * CVE-2014-0092: Некорректная обработка ошибок при проверке сертификатов X.509 приводит к тому, что испорченные сертификаты помечаются как действительные.
   * CVE-2009-5138: Уязвимость в проверке сертификатов V1 приводит к некорректной обработке сертификатов V1.
   * CVE-2013-2116: Уязвимость в функции _gnutls_ciphertext2compressed в lib/gnutls_cipher.c в GnuTLS позволяет злоумышленникам, действующим удаленно, вызвать отказ в обслуживании (чтение за пределами буфера и аварийное завершение работы) при помощи специально сформированного значения длины заполнения (padding).
   * CVE-2013-1619: Атака по времени на хэширование заполнения (padding) позволяет получить доступ к ключам. ("Счастливая чертова дюжина"/"Lucky13")

   Также были исправлены следующие ошибки, не имеющие отношения к безопасности:

   * gnutls не одобряет корневые ЦС без основных ограничений (Basic Constraints). Необходима корректировка разрешений центров сертификации V1
   (bnc#760265)
   * утечка памяти при PSK-аутентификации (bnc#835760)
Как исправить
Проблема может быть решена обновлением операционной системы до следующих версий пакетов в зависимости от архитектуры:
SUSE Linux Enterprise Server 11 SP1 LTSS:
i586, s390x, x86_64:
gnutls - 2.4.1-24.39.49.1
libgnutls-extra26 - 2.4.1-24.39.49.1
libgnutls26 - 2.4.1-24.39.49.1