[Pardus-guvenlik] [PLSA 2009-141] Gnutls: Kandırma Zaafiyeti
pardus-guvenlik at pardus.org.tr
pardus-guvenlik at pardus.org.tr
2 Eyl 2009 Çar 21:13:15 EEST
------------------------------------------------------------------------
Pardus Linux Güvenlik Bildirisi 2009-141 guvenlik at pardus.org.tr
------------------------------------------------------------------------
Tarih: 2009-09-02
Önem: 3
Tür: Remote
------------------------------------------------------------------------
Özet
====
GnuTLS'de kötü niyetli kişilerin kandırma saldırıları
gerçekleştirmek için kullanabilecekleri bir zaafiyet raporlandı.
Açıklama
========
Zaafiyet BOŞ (NULL = '\0') karakter içeren X.509 CN ve SAN alanları
ayrıştırılırken oluşan bir hatadan kaynaklanıyor. Bu durumdan
özel olarak hazırlanmış X.509 sertifikaları yoluyla sunucu
tarafından kimlikleri doğrulanmış TLS oturumları üzerinde
GnuTLS'nin tüm CN ve SAN alanlarını yazmasını engellemek ve Aradaki
Adam (MitM - Man-in-the-Middle) saldırıları gerçekleştirmek için
kullanılabilir.
Etkilenen paketler:
Pardus 2009:
gnutls, 2.8.3-17-6 öncesi tüm sürümler
Çözüm
=====
gnutls için güncelleme mevcut. Paket Yöneticisi'ni kullanarak, ya da
konsolda tek komut ile güncelleme yapabilirsiniz:
pisi up gnutls
Referanslar
===========
* http://bugs.pardus.org.tr/show_bug.cgi?id=10889
* http://secunia.com/advisories/36266/
------------------------------------------------------------------------
Pardus-guvenlik mesaj listesiyle ilgili
daha fazla bilgi