Se ha publicado la versión 2.12 de Libtasn1 y la versión 3.0.17 de GnuTLS que corrigen dos problemas de seguridad que podrían provocar una denegación de servicio.
GnuTLS es una librería de comunicaciones segura que implementa, entre otros protocolos, SSL, TLS y DTLS. Ofrece una API (Application Programming Interface) para estos protocolos y para los estándares de criptografía de clave pública X.509 y PKCS # 12. Libtasn1 es la librería ASN.1 usada por GnuTLS y otros proyectos GNU para manejar estructuras X.509, Kerberos, etc.
El primer error se encuentra en la función asn1_get_length_der del fichero decoding.c de la librería Libtasn1. Esta no maneja correctamente ciertos valores de elevada longitud y puede ser explotada por un atacante remoto a través de una estructura ASN.1 especialmente manipulada. Se ha solucionado en la versión 2.12 de la librería como proyecto independiente.
El segundo error se encuentra en el fichero cipher.c de la librería libgnutls al no manejar adecuadamente estructuras GenericBlockCipher anidadas en registros TLS. Puede ser aprovechado por un atacante remoto a través de una estructura GenericBlockCipher especialmente manipulada. Se recomienda actualizar a las versiones 3.0.17 o 2.12.18.
Los CVE asignados a estas vulnerabilidades han sido CVE-2012-1569para el primer error y CVE-2012-1573para el segundo. Las versiones corregidas pueden ser descargada desde su página oficial.
Más información
GNU Security Advisories
Jose Ignacio Palacios Ortega
Twitter: @jpalaciosortega
Deja una respuesta