—–BEGIN PGP SIGNED MESSAGE—–
Hash: SHA1
Liebe Kolleginnen und Kollegen,
soeben erreichte uns nachfolgendes Fedora Security Advisory. Wir geben
diese Informationen unveraendert an Sie weiter.
Mit diesem Update verwendet GnuTLS eine RFC 5746 konforme Version der
TLS Renegotiation Indication Extension, welche die Designschwaeche
behebt. Fruehere Updates haben die Schwachstelle dadurch behoben, dass
die TLS Renegotiation vollstaendig deaktiviert wurde.
CVE-2009-3555 – Designschwaeche im SSLv3/TSLv1 Protokoll bei der
Renegotiation
Bei der Neuaushandlung von Parametern in einer SSL oder TLS Session
(Renegotiation) wird das Client Zertifikat geprueft. Allerdings ist es
aufgrund einer Schwachstelle im TLS-Protokoll unter Umstaenden moeglich,
dass vorher beliebige Daten in die TLS-Session eingeschleust werden. Dies
ermoeglicht Man-in-the-Middle Angriffe auf die TLS-Session. Beim HTTPS
Protokoll kann ein Angreifer so den HTTP-Request des Benutzers faelschen.
Dies kann ein Angreifer dazu ausnutzen, um an vertrauliche Daten zu
gelangen, Operationen mit den Rechten des Benutzers auf dem Server
auszufuehren, dem Benutzer falsche Informationen anzuzeigen.
Diese Schwachstelle wird bereits aktiv von Angreifern ausgenutzt.
Betroffen sind die folgenden Software Pakete und Plattformen:
Paket gnutls
Fedora 12
Vom Hersteller werden ueberarbeitete Pakete zur Verfuegung gestellt.
(c) der deutschen Zusammenfassung bei DFN-CERT Services GmbH; die
Verbreitung, auch auszugsweise, ist nur unter Hinweis auf den Urheber,
DFN-CERT Services GmbH, und nur zu nicht kommerziellen Zwecken
gestattet.
Mit freundlichen Gruessen,
Michael Groening, DFN-CERT
– —
Michael Groening (Incident Response Team)
DFN-CERT Services GmbH, https://www.dfn-cert.de, Phone +49 40 808077-590
Sitz / Register: Hamburg, AG Hamburg, HRB 88805, Ust-IdNr.: DE 232129737
Sachsenstrasse 5, 20097 Hamburg/Germany, CEO: Dr. Klaus-Peter Kossakowski
Automatische Warnmeldungen https://www.cert.dfn.de/autowarn
– ——————————————————————————–
Fedora Update Notification
FEDORA-2010-9487
2010-06-04 17:59:11
– ——————————————————————————–
Name : gnutls
Product : Fedora 12
Version : 2.8.6
Release : 2.fc12
URL : http://www.gnutls.org/
Summary : A TLS protocol implementation
Description :
GnuTLS is a project that aims to develop a library which provides a secure
layer, over a reliable transport layer. Currently the GnuTLS library implements
the proposed standards by the IETF’s TLS working group.
– ——————————————————————————–
Update Information:
Add implementation of the safe renegotiation extension to fix the CVE-2009-3555
security vulnerability.
– ——————————————————————————–
ChangeLog:
* Wed Jun 2 2010 Tomas Mraz
– – add support for safe renegotiation CVE-2009-3555 (#533125)
* Wed May 12 2010 Tomas Mraz
– – upgrade to a new upstream version
* Mon Feb 15 2010 Rex Dieter
– – FTBFS gnutls-2.8.5-3.fc13: ImplicitDSOLinking (#564624)
* Thu Jan 28 2010 Tomas Mraz
– – drop superfluous rpath from binaries
– – do not call autoreconf during build
– – specify the license on utils subpackage
* Mon Jan 18 2010 Tomas Mraz
– – do not create static libraries (#556052)
– ——————————————————————————–
References:
[ 1 ] Bug #533125 – CVE-2009-3555 TLS: MITM attacks via session renegotiation
https://bugzilla.redhat.com/show_bug.cgi?id=533125
– ——————————————————————————–
This update can be installed with the “yum” update program. Use
su -c ‘yum update gnutls’ at the command line.
For more information, refer to “Managing Software with yum”,
available at http://docs.fedoraproject.org/yum/.
All packages are signed with the Fedora Project GPG key. More details on the
GPG keys used by the Fedora Project can be found at
https://fedoraproject.org/keys
– ——————————————————————————–
—–BEGIN PGP SIGNATURE—–
Version: GnuPG v2.0.9 (GNU/Linux)
iEYEARECAAYFAkwoeBAACgkQWmhIvjFb90WCCQCaAuACLevdMuMDyXuTYKAy0rWn
FoMAnjiW85k62wxbWJUJj7YI7Wwxq3vn
=m/Ac
—–END PGP SIGNATURE—–
