Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

GNU GnuTLS <= 2.12.20 Betroffene Plattformen: Debian Linux 7.7 Wheezy Zwei Schwachstellen in GnuTLS ermöglichen einem entfernten, nicht authentifizierten Angreifer das Umgehen von Sicherheitsvorkehrungen. Die Schwachstellen werden für die stabile Debian Distribution Wheezy durch Backports behoben. Patch: Debian Security Advisory DSA-3191-1 https://www.debian.org/security/2015/dsa-3191

CVE-2015-0294: Schwachstelle in GnuTLS ermöglicht das Umgehen von
Sicherheitsmaßnahmen

Eine Schwachstelle in GnuTLS führt dazu, dass bei dem Import eines
Zertifikates nicht geprüft wird, ob die zwei Signatur-Algorithmen
übereinstimmen. Ein entfernter, nicht authentifizierter Angreifer kann
Sicherheitsmaßnahmen umgehen.

CVE-2015-0282: Schwachstelle in GnuTLS ermöglicht das Umgehen von
Sicherheitsmaßnahmen

GnuTLS überprüft bei RSA PKCS#1 Signaturen nicht, ob der Hash-Algorithmus,
der in der Signatur aufgeführt wird, mit dem im Zertifikat identisch ist.
Dadurch ist eine Downgrade-Attacke möglich und das Zertifikat könnte mit MD5
signiert sein, auch wenn dieser Algorithmus eigentlich verboten ist. Ein
entfernter, nicht authentifizierter Angreifer kann so
Sicherheitsvorkehrungen umgehen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-0349/

Debian Security Advisory DSA-3191-1:
https://www.debian.org/security/2015/dsa-3191

Schwachstelle CVE-2015-0282 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-0282

Schwachstelle CVE-2015-0294 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-0294

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.