Se ha anunciado una vulnerabilidad de desbordamiento de búfer en la librería GnuTLS que podría permitir a un atacante remoto tomar el control de los sistemas afectados.
GnuTLS es una librería de comunicaciones segura que implementa, entre otros protocolos, SSL, TLS y DTLS. Aunque no es tan popular como la librería OpenSSL, GnuTLS también es ampliamente usada. Se incluye por defecto en diversas distribuciones Linux, incluyendo Red Hat, Ubuntu o Debian. Un gran número de productos Linux también dependen de ella para el soporte de SSL/TLS.
La vulnerabilidad, con CVE-2014-3466, puede permitir a un servidor remoto enviar durante el establecimiento de la sesión, un valor ID de sesión específicamente manipulado. De esta forma se puede provocar un desbordamiento de búfer y lograr la ejecución de código arbitrario en el sistema cliente.
Para corregir el problema se han publicado las versiones 3.3.3, 3.2.15 y 3.1.25 de GnuTLS,. Sin embargo poco después también se ha lanzado la versión 3.3.4 para corregir otro problema con hardware de aceleración no relacionado con la seguridad.
Más información:
Technical Analysis Of The GnuTLS Hello Vulnerability
About Security Advisories
Antonio Ropero
Twitter: @aropero
Deja un comentario