Múltiples vulnerabilidades en la librería GnuTLS

Fecha de publicación
28/03/2019
Importancia
4 - Alta
Recursos Afectados
  • Librería GnuTLS versiones desde la 3.5.8 y anteriores a la 3.6.7.
Descripción

Se han detectado dos vulnerabilidades de criticidad alta, una de ellas encontrada por el investigador Tavis Ormandy de Google Project Zero. Un atacante podría generar un cierre inesperado del servidor o comprometer los certificados.

Solución
Detalle
  • Un atacante que envíe un mensaje TLS1.3 asíncrono, mal formado, podría generar un cierre inesperado del servidor a través de un acceso no válido al puntero. Se ha reservado el identificador CVE-2019-3836 para esta vulnerabilidad.
  • Una corrupción de memoria debida a una doble liberación (double free) en la API de verificación de certificados podría comprometer los mismos. Cualquier aplicación, cliente o servidor, que verifique certificados X.509, está afectada. Se ha asignado el identificador CVE-2019-3829 para esta vulnerabilidad.

Encuesta valoración

Listado de referencias

botón arriba