[Sec-cert] UPDATE: DFN-CERT-2014-0198 GnuTLS: Eine Schwachstelle ermöglicht Zugriff auf verschlüsselt übertragene Daten [Linux][Debian][Fedora]

portal at dfn-cert.de portal at dfn-cert.de
Mi Feb 26 16:10:02 CET 2014


Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
  Version 3 (26.02.2014):
    Ubuntu behebt diese Sicherheitslücke für die Versionen 12.04 LTS, 12.10
    und 13:10.
  Version 2 (24.02.2014):
    Debian behebt ebenfalls diese Sicherheitslücke.
  Version 1 (17.02.2014):
    Neues Advisory

Betroffene Software:

  GNU GnuTLS >= 2.11.5
  GNU GnuTLS <= 3.1.20
  GNU GnuTLS <= 3.2.10
  

Betroffene Plattformen:

  Canonical Ubuntu Linux 12.04 Lts
  Canonical Ubuntu Linux 12.10
  Canonical Ubuntu Linux 13.10
  Debian Linux 7.3 Wheezy
  Debian Linux 8.0 Jessie
  Red Hat Fedora 19
  Red Hat Fedora 20
  


Ein Angreifer kann diese Schwachstelle ausnutzen, um Zugriff auf
verschlüsselt übertragene Daten zu erlangen.


Patch:

  Fedora Update FEDORA-2014-2580

  <https://admin.fedoraproject.org/updates/FEDORA-2014-2580/gnutls-3.1.20-3.fc20>

Patch:

  Fedora Update FEDORA-2014-2588

  <https://admin.fedoraproject.org/updates/FEDORA-2014-2588/gnutls-3.1.20-3.fc19>

Patch:

  Fedora Update FEDORA-2014-2565

  <https://admin.fedoraproject.org/updates/FEDORA-2014-2565/mingw-gnutls-3.1.21-1.fc19>

Patch:

  Fedora Update FEDORA-2014-2583

  <https://admin.fedoraproject.org/updates/FEDORA-2014-2583/mingw-gnutls-3.1.21-1.fc20>

Patch:

  Debian Security Advisory DSA-2866

  <http://www.debian.org/security/2014/dsa-2866>

Patch:

  Ubuntu Security Notice USN-2121-1

  <http://www.ubuntu.com/usn/usn-2121-1/>


CVE-2014-1959: GnuTLS: Schwachstelle in Zertifikatsverifikation

  In GnuTLS werden 'Intermediate'-X.509v1-Zertifikate standardmäßig wie
  CA-Zertifikate behandelt. Dies weicht von der in der Dokumentation
  beschriebenen Verhaltensweise ab und kann einem entfernten Angreifer
  ermöglichen, lesenden und schreibenden Zugriff auf verschlüsselt übertragene
  Daten zu erlangen.


Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
  <https://portal.cert.dfn.de/adv/DFN-CERT-2014-0198/>

Schwachstelle CVE-2014-1959 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-1959>

Fedora Update FEDORA-2014-2580:
  <https://admin.fedoraproject.org/updates/FEDORA-2014-2580/gnutls-3.1.20-3.fc20>

Fedora Update FEDORA-2014-2588:
  <https://admin.fedoraproject.org/updates/FEDORA-2014-2588/gnutls-3.1.20-3.fc19>

Fedora Update FEDORA-2014-2565:
  <https://admin.fedoraproject.org/updates/FEDORA-2014-2565/mingw-gnutls-3.1.21-1.fc19>

Fedora Update FEDORA-2014-2583:
  <https://admin.fedoraproject.org/updates/FEDORA-2014-2583/mingw-gnutls-3.1.21-1.fc20>

Debian Security Advisory DSA-2866:
  <http://www.debian.org/security/2014/dsa-2866>

Ubuntu Security Notice USN-2121-1:
  <http://www.ubuntu.com/usn/usn-2121-1/>


(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : smime.p7s
Dateityp    : application/pkcs7-signature
Dateigröße  : 4335 bytes
Beschreibung: nicht verfügbar
URL         : <https://listserv.uni-hohenheim.de/pipermail/sec-cert/attachments/20140226/07d04ac2/attachment.p7s>


Mehr Informationen über die Mailingliste Sec-cert