Hallo,
mal 'ne Frage durch diesen Heise-Artikel induziert:
http://www.heise.de/newsticker/meldung/Sicherheitsluecke-GnuTLS-jetzt-mit-goto-fail-2133192.html?wt_mc=rss.ho.beitrag.rdf (http://www.heise.de/newsticker/meldung/Sicherheitsluecke-GnuTLS-jetzt-mit-goto-fail-2133192.html?wt_mc=rss.ho.beitrag.rdf)
Ich benutze TLS für meine Mail-Übermittlung an meinen Provider. Wenigstens ist mir sonst nix bewusst, daß ich es noch anderweitig benutzen würde, sofern das nicht auch ssl-Verbindungen betreffen sollte...
Pünktlich zu diesem Artikel kommen jetzt neue Versionen von libgnutls-openssl2, libgnutls26, libgnutls28 per apt rein.
Bei libgnutls28 ist dies aber Version 3.2.11-2 und nicht die im Artikel für GNUtls erwähnte Version 3.2.12.
Ich lese zwar oft solche Sicherheitswarnungen, weis aber meistens -wenn überhaupt- nur so ungefär um was es geht.
Und die alte Erklärung beim Kernelbau "Wenn Sie nicht wissen um was es hier geht brauchen Sie es nicht" ist mir wenns um Verschlüsselung und Internet geht irgendwie dann doch nicht so geheuer :)
Ist das erwähnte Problem damit behoben oder ist demnächst ein weiteres Update zu erwarten?
Sollte man was beachten?
Gruß
ayla
Quote– sollte es reichen, die installierte Bibliothek zu aktualisieren. In den Versionen 3.2.12 und 3.1.22 wurde der Fehler beseitigt; Distributionen wie Debian werden die Patches jedoch wie üblich in ihre aktuellen Versionen zurück portieren.
ich würde mal sagen - changelog lesen
Quotegnutls28 (3.2.11-2) unstable; urgency=high
* Bump version of Build-Depends on libp11-kit-dev, as required by 3.2.11.
* 20_CVE-2014-0092.diff by Nikos Mavrogiannopoulos: Fix certificate
validation issue. CVE-2014-0092
Hätte ich auch selbst draufkommen können...
Danke melmarker, ich denke mal damit ist das erledigt.
Gruß
ayla