Múltiples vulnerabilidades en la librería GnuTLS
Fecha de publicación: 28/03/2019
Importancia:
Alta
Recursos afectados:
- Librería GnuTLS versiones desde la 3.5.8 y anteriores a la 3.6.7.
Descripción:
Se han detectado dos vulnerabilidades de criticidad alta, una de ellas encontrada por el investigador Travis Ormandy de Google Project Zero. Un atacante podría generar un cierre inesperado del servidor o comprometer los certificados.
Solución:
- Actualizar GnuTLS a la versión 3.6.7 o posteriores.
Detalle:
- Un atacante que envíe un mensaje TLS1.3 asíncrono, mal formado, podría generar un cierre inesperado del servidor a través de un acceso no válido al puntero. Se ha reservado el identificador CVE-2019-3836 para esta vulnerabilidad.
- Una corrupción de memoria debida a una doble liberación (double free) en la API de verificación de certificados podría comprometer los mismos. Cualquier aplicación, cliente o servidor, que verifique certificados X.509, está afectada. Se ha asignado el identificador CVE-2019-3829 para esta vulnerabilidad.
Etiquetas:
Actualización, SSL/TLS, Vulnerabilidad
Powered by WPeMatico
