Bug 19873 - GnuTLS Multiple Vulnerabilities: CVE-2009-1415, CVE-2009-1416, CVE-2009-1417
Summary: GnuTLS Multiple Vulnerabilities: CVE-2009-1415, CVE-2009-1416, CVE-2009-1417
Status: CLOSED FIXED
Alias: None
Product: Sisyphus
Classification: Development
Component: libgnutls26 (show other bugs)
Version: unstable
Hardware: all Linux
: P3 blocker
Assignee: Dmitry V. Levin
QA Contact: qa-sisyphus
URL: http://secunia.com/advisories/34842
Keywords: security
Depends on:
Blocks:
 
Reported: 2009-04-30 17:03 MSD by Vladimir Lettiev
Modified: 2009-05-25 20:15 MSD (History)
1 user (show)

See Also:

Attachments
Add an attachment (proposed patch, testcase, etc.)

Note You need to log in before you can comment on or make changes to this bug.
Description Vladimir Lettiev 2009-04-30 17:03:48 MSD 
Несколько уязвимостей обнаружено в GnuTLS 2.6.x:

* Ошибка при обработке некорректных DSA ключей может привести к освобождению недоступной памяти и краху приложения через неверную DSA подпись. Успешное использование уязвимости может привести к выполнению произвольного кода. (CVE-2009-1415)

* Библиотека создаёт RSA ключи вместо DSA, что может потенциально привести к созданию криптографически более слабой подписи. (CVE-2009-1416)

* Приложение "gnutls-cli" неправильно проверяет время активации и истечения срока сертификатов X.509. Это может быть использовано для обмана приложения и принятия некорректного сертификата (CVE-2009-1417)

Upstream выпустил исправление в виде новой версии 2.6.6.
Comment 1 Afanasov Dmitry 2009-04-30 19:24:46 MSD 
COMPLETE gnutls.git=2.6.6-alt1
Comment 2 Vladimir Lettiev 2009-05-01 11:03:39 MSD 
ack
Comment 3 Vladimir Lettiev 2009-05-25 20:15:20 MSD 
closed