Múltiples vulnerabilidades en la librería GnuTLS
Fecha de publicación 28/03/2019
Importancia
4 - Alta
Recursos Afectados
- Librería GnuTLS versiones desde la 3.5.8 y anteriores a la 3.6.7.
Descripción
Se han detectado dos vulnerabilidades de criticidad alta, una de ellas encontrada por el investigador Tavis Ormandy de Google Project Zero. Un atacante podría generar un cierre inesperado del servidor o comprometer los certificados.
Solución
- Actualizar GnuTLS a la versión 3.6.7 o posteriores.
Detalle
- Un atacante que envíe un mensaje TLS1.3 asíncrono, mal formado, podría generar un cierre inesperado del servidor a través de un acceso no válido al puntero. Se ha reservado el identificador CVE-2019-3836 para esta vulnerabilidad.
- Una corrupción de memoria debida a una doble liberación (double free) en la API de verificación de certificados podría comprometer los mismos. Cualquier aplicación, cliente o servidor, que verifique certificados X.509, está afectada. Se ha asignado el identificador CVE-2019-3829 para esta vulnerabilidad.
Listado de referencias
Etiquetas