Re: Bug en libgnutls
El día 4 de junio de 2014, 10:39, Mauro Antivero
<mauro.antivero@gmail.com> escribió:
> Estimados, estoy buscando información sobre el bug "reciente" en libgnutls
> (detallo el mismo más abajo), más precisamente que versiones son las
> afectadas y a partir de que versión está resuelto el problema.
>
> Recuerdo que cuando fue el Heart Bleed la actualización era reciente y si
> uno hacía un "apt-cache show openssl" en la lista de cambios de la versión
> que solucionaba el problema aparecía "fix Heart Bleed bla bla bla" (no
> recuerdo que decía exactamente pero si que aclaraba perfectamente que el bug
> estaba resuelto).
>
> Si hago lo mismo ahora con libgnutls26 me sale que la última versión
> disponible es la 2.12.20-8+deb7u2, que la prioridad de la actualización es
> "importante" pero no sale nada más. No sé si esto será porque esta
> actualización o bien no resuelve el bug o ya fue resuelto por una
> actualización anterior.
>
> Mi pregunta en concreto es (de novato en estas cuestiones): Cómo puedo hacer
> para saber qué versión es la que implementa el fix en cuestión? Si es
> posible saberlo directamente desde la consola mejor.
>
> Ahora si, leyendo sobre el bendito bug encontré esta página (por supuesto
> hay muchas, pero esta me pareció muy clara):
>
> http://www.etccrond.es/2014/03/fallos-en-ios-y-gnutls-y-advertencia-debian-jessie.html
>
> Saludos y muchas gracias.
>
> Mauro.
>
>
Mauro el cve es el CVE-2014-3466 y la info y solución la tenés acá [1]
Más info [2]
[1] https://security-tracker.debian.org/tracker/CVE-2014-3466
[2] http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-3466
Reply to: