UPDATE: DFN-CERT-2016-1100 GNU GnuTLS: Eine Schwachstelle ermöglicht das Umgehen von Sicherheitsvorkehrungen [Linux][Fedora]

DFN-CERT portal at dfn-cert.de
Thu Jul 14 09:00:02 CEST 2016


Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
  Version 2 (14.07.2016):
    Für Fedora 24 steht mit dem Paket 'mingw-gnutls-3.4.14-1.fc24' ein
    Sicherheitsupdate im Status 'testing' bereit.
  Version 1 (11.07.2016):
    Neues Advisory

Betroffene Software:

  GNU GnuTLS 3.3.23
  GNU GnuTLS >= 3.4.12
  GNU GnuTLS < 3.4.14
  

Betroffene Plattformen:

  GNU/Linux
  Red Hat Fedora 23
  Red Hat Fedora 24
  


Ein entfernter, nicht authentifizierter Angreifer kann eine Schwachstelle in
GnuTLS ausnutzen, um Sicherheitsvorkehrungen zu umgehen.

Der Hersteller stellt die Versionen 3.3.24 und 3.4.14 bereit, um die
Schwachstelle zu beheben. Für Fedora 23 und 24 stehen Sicherheitsupdates auf
die Version 3.4.14 im Status 'testing' bereit.



Workaround:

  Die 'Trust Store'-Verifikation kann deaktiviert werden, bis ein
  entsprechendes Sicherheitsupdate eingespielt werden kann.


Patch:

  Fedora Security Update FEDORA-2016-2a5046f726 (Fedora 24)

  <https://bodhi.fedoraproject.org/updates/FEDORA-2016-2a5046f726>

Patch:

  Fedora Security Update FEDORA-2016-446eaaf618 (Fedora 23)

  <https://bodhi.fedoraproject.org/updates/FEDORA-2016-446eaaf618>

Patch:

  GnuTLS Download

  <http://www.gnutls.org/download.html>

Patch:

  GnuTLS Security Advisory GNUTLS-SA-2016-2

  <http://www.gnutls.org/security.html#GNUTLS-SA-2016-2>

Patch:

  Fedora Security Update FEDORA-2016-4738cb1a2c (Fedora 24,
  mingw-gnutls-3.4.14-1.fc24)

  <https://bodhi.fedoraproject.org/updates/FEDORA-2016-4738cb1a2c>


GNUTLS-SA-2016-2: Schwachstelle in GnuTLS ermöglicht Umgehen von
  Sicherheitsvorkehrungen

  Es existiert eine nicht näher spezifizierte Schwachstelle in GnuTLS 3.3.23
  sowie 3.4.12 und später, die die Zertifikatsverifizierung beeinflusst, wenn
  GnuTLS zusammen mit dem 'p11-kit trust module' verwendet wird.
  


Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
  <https://portal.cert.dfn.de/adv/DFN-CERT-2016-1100/>

Fedora Security Update FEDORA-2016-2a5046f726 (Fedora 24):
  <https://bodhi.fedoraproject.org/updates/FEDORA-2016-2a5046f726>

Fedora Security Update FEDORA-2016-446eaaf618 (Fedora 23):
  <https://bodhi.fedoraproject.org/updates/FEDORA-2016-446eaaf618>

GnuTLS Download:
  <http://www.gnutls.org/download.html>

GnuTLS Security Advisory GNUTLS-SA-2016-2:
  <http://www.gnutls.org/security.html#GNUTLS-SA-2016-2>

Fedora Security Update FEDORA-2016-4738cb1a2c (Fedora 24,
mingw-gnutls-3.4.14-1.fc24):
  <https://bodhi.fedoraproject.org/updates/FEDORA-2016-4738cb1a2c>


(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.
-------------- next part --------------
A non-text attachment was scrubbed...
Name: smime.p7s
Type: application/pkcs7-signature
Size: 4686 bytes
Desc: not available
URL: <https://lists.cert.uni-stuttgart.de/pipermail/security-announce/attachments/20160714/89999195/attachment.bin>


More information about the Security-Announce mailing list