Bug 19873

Summary: GnuTLS Multiple Vulnerabilities: CVE-2009-1415, CVE-2009-1416, CVE-2009-1417
Product: Sisyphus Reporter: Vladimir Lettiev <crux>
Component: libgnutls26Assignee: Dmitry V. Levin <ldv>
Status: CLOSED FIXED QA Contact: qa-sisyphus
Severity: blocker    
Priority: P3 CC: sem
Version: unstableKeywords: security
Hardware: all   
OS: Linux   
URL: http://secunia.com/advisories/34842

Description Vladimir Lettiev 2009-04-30 17:03:48 MSD 
Несколько уязвимостей обнаружено в GnuTLS 2.6.x:

* Ошибка при обработке некорректных DSA ключей может привести к освобождению недоступной памяти и краху приложения через неверную DSA подпись. Успешное использование уязвимости может привести к выполнению произвольного кода. (CVE-2009-1415)

* Библиотека создаёт RSA ключи вместо DSA, что может потенциально привести к созданию криптографически более слабой подписи. (CVE-2009-1416)

* Приложение "gnutls-cli" неправильно проверяет время активации и истечения срока сертификатов X.509. Это может быть использовано для обмана приложения и принятия некорректного сертификата (CVE-2009-1417)

Upstream выпустил исправление в виде новой версии 2.6.6.
Comment 1 Afanasov Dmitry 2009-04-30 19:24:46 MSD 
COMPLETE gnutls.git=2.6.6-alt1
Comment 2 Vladimir Lettiev 2009-05-01 11:03:39 MSD 
ack
Comment 3 Vladimir Lettiev 2009-05-25 20:15:20 MSD 
closed