Se
ha anunciado una vulnerabilidad de desbordamiento de búfer en la librería
GnuTLS que podría permitir a un atacante
remoto tomar el control de los sistemas afectados.
GnuTLS es una librería de
comunicaciones segura que implementa, entre otros protocolos, SSL, TLS y DTLS. Aunque
no es tan popular como la librería OpenSSL, GnuTLS también es ampliamente
usada. Se incluye por defecto en diversas distribuciones Linux, incluyendo Red
Hat, Ubuntu o Debian. Un gran número de productos Linux también dependen de
ella para el soporte de SSL/TLS.
La vulnerabilidad, con CVE-2014-3466, puede permitir a un servidor remoto enviar durante
el establecimiento de la sesión, un valor ID de sesión específicamente manipulado.
De esta forma se puede provocar un desbordamiento de búfer y lograr la ejecución
de código arbitrario en el sistema cliente.
Para corregir el problema se han publicado las
versiones 3.3.3, 3.2.15 y 3.1.25 de GnuTLS,. Sin embargo poco después también
se ha lanzado la versión 3.3.4 para corregir otro problema con hardware de aceleración
no relacionado con la seguridad.
Más información:
Technical Analysis Of The GnuTLS Hello
Vulnerability
About Security Advisories
Antonio Ropero
Twitter: @aropero