2014-0261: GnuTLS: Mehrere Schwachstellen erlauben Man-in-the-Middle-Angriffe

Historie:

Version 1 (2014-03-04 15:32): Neues Advisory
Version 2 (2014-03-04 17:41): Für die Linux Distributionen Ubuntu 13.10, Ubuntu 12.10, Ubuntu 12.04 LTS, Ubuntu 10.04 LTS wurden Updates bereitgestellt, welche die Schwachstelle CVE-2014-0092 beheben.
Version 3 (2014-03-05 11:21): Die Schwachstelle CVE-2014-0092 wurde für openSUSE 13.1 behoben.
Version 4 (2014-03-06 10:49): Die Schwachstelle CVE-2014-0092 wurde für openSUSE 12.3 behoben und für Fedora 19 und 20 stehen weitere Updates zur Verfügung.
Version 5 (2014-03-13 19:13): Die Schwachstelle CVE-2014-0092 wurde von Red Hat für die Distributionen Red Hat Enterprise Linux 4 ELS, Red Hat Enterprise Linux Server 5.9.z EUS, Red Hat Enterprise Linux Server 5.3 Long Life, Red Hat Enterprise Linux Server 5.6 Long Life, Red Hat Enterprise Linux Server 5.9 Long Life, Red Hat Enterprise Linux Server 6.2 AUS, Red Hat Enterprise Linux Server 6.4 AUS, Red Hat Enterprise Linux Server 6.3.z EUS und Red Hat Enterprise Linux Server 6.4.z EUS behoben.

Betroffene Software

Sicherheit
Systemsoftware

Betroffene Plattformen

Linux

Beschreibung:

Mehrere Schwachstellen bestehen aufgrund fehlerhafter Verifizierung/Behandlung von X.509-Zertifikaten im GnuTLS-Paket und erlauben Man-in-the-Middle-Angriffe. Für verschiedene Linux-Distributionen sind Sicherheitsupdates für die GnuTLS-Bibliothek zur Verfügung gestellt worden. Die Schwachstelle CVE-2014-0092 wurde für alle betroffenen Plattformen behoben, während die ältere Schwachstelle CVE-2009-5138 ausschließlich für die angegebenen Distributionen von RHEL v.5 und SUSE Linux Enterprise 11 SP3 behoben wurde.

Schwachstellen:

CVE-2009-5138

Schwachstelle in GnuTLS ermöglicht Man-in-the-Middle-Angriff

CVE-2014-0092