martes, 3 de junio de 2014

Vulnerabilidad de ejecución de código en la librería GnuTLS

Se ha anunciado una vulnerabilidad de desbordamiento de búfer en la librería GnuTLS que podría permitir a un atacante remoto tomar el control de los sistemas afectados.

GnuTLS es una librería de comunicaciones segura que implementa, entre otros protocolos, SSL, TLS y DTLS. Aunque no es tan popular como la librería OpenSSL, GnuTLS también es ampliamente usada. Se incluye por defecto en diversas distribuciones Linux, incluyendo Red Hat, Ubuntu o Debian. Un gran número de productos Linux también dependen de ella para el soporte de SSL/TLS.

La vulnerabilidad, con CVE-2014-3466, puede permitir a un servidor remoto enviar durante el establecimiento de la sesión, un valor ID de sesión específicamente manipulado. De esta forma se puede provocar un desbordamiento de búfer y lograr la ejecución de código arbitrario en el sistema cliente.

Para corregir el problema se han publicado las versiones 3.3.3, 3.2.15 y 3.1.25 de GnuTLS,. Sin embargo poco después también se ha lanzado la versión 3.3.4 para corregir otro problema con hardware de aceleración no relacionado con la seguridad.

Más información:

Technical Analysis Of The GnuTLS Hello Vulnerability

About Security Advisories


Antonio Ropero
Twitter: @aropero

No hay comentarios:

Publicar un comentario en la entrada