El proyecto GNU publica actualizaciones de seguridad para su producto
GNUTLS, que eliminan una vulnerabilidad que permite la denegación
de servicio.
GNUTLS es una implementación del protocolo SSL/TLS alternativa al
conocido OpenSSL. Ambas implementaciones son Open Source.
Las versiones de GNUTLS no actualizadas contienen una vulnerabilidad en
la librería «libtasn1», en la gestión de entradas DER (Distinguished
Encoding Rules) incorrectas. Dicha vulnerabilidad permite provocar la
caída del servicio que utilice la librería GNUTLS.
Hispasec recomienda a todos los administradores de sistemas con la
librería GNUTLS instalada que actualicen a la versión 1.2.10 (rama
estable) o 1.3.4 (rama experimental) de dicha librería, y la versión
0.2.18 de la librería «libtasn1».
Se deberán reiniciar los programas que utilicen dichas librería de
forma dinámica. Los programas que las utilicen de forma estática
deben recompilarse/reenlazarse.
jcea@hispasec.com
Más información:
[gnutls-dev] Libtasn1 0.2.18 – Tiny ASN.1 Library – Security release
http://lists.gnupg.org/pipermail/gnutls-dev/2006-February/001058.html
The GNU Transport Layer Security Library [News]
http://www.gnu.org/software/gnutls/news.html
GNU TLS
http://www.gnu.org/software/gnutls/
CVE-2006-0645
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-0645
Security Advisory Important: gnutls security update
https://rhn.redhat.com/errata/RHSA-2006-0207.html
Bugzilla Bug 180903 ? CVE-2006-0645 GnuTLS x509 DER DoS
https://bugzilla.redhat.com/bugzilla/show_bug.cgi?id=180903
