Vulnerabilidad de evasión de autenticación en GnuTLS

Fecha de publicación 04/06/2020

Importancia

4 - Alta

Recursos Afectados

GnuTLS, versión 3.6.4.

Descripción

Se ha publicado una vulnerabilidad en el servidor TLS de GnuTLS que podría permitir a un atacante eludir la autenticación en TLS 1.3 y recuperar las conversaciones anteriores en TLS 1.2.

Solución

Actualizar a la versión 3.6.14 o posteriores.

Detalle

Los servidores de GnuTLS son capaces de utilizar los tickets emitidos por cada uno de ellos sin tener acceso a la clave secreta generada por gnutls_session_ticket_key_generate(). Esto podría permitir a un atacante MITM, sin credenciales válidas, reanudar las sesiones con un cliente que haya establecido previamente una conexión con un servidor con credenciales válidas. Se ha reservado el identificador CVE-2020-13777 para esta vulnerabilidad.

Listado de referencias

GNUTLS-SA-2020-06-03

CVE-2020-13777: TLS 1.3 session resumption works without master key, allowing MITM

Etiquetas

Actualización
Comunicaciones
Vulnerabilidad