Recursos afectados:
- Librería GnuTLS versiones desde la 3.5.8 y anteriores a la 3.6.7.
·
Un
atacante que envíe un mensaje TLS1.3 asíncrono, mal formado, podría generar un
cierre inesperado del servidor a través de un acceso no válido al puntero. Se
ha reservado el identificador CVE-2019-3836 para esta vulnerabilidad.
· Una
corrupción de memoria debida a una doble liberación (double free) en la API de
verificación de certificados podría comprometer los mismos. Cualquier
aplicación, cliente o servidor, que verifique certificados X.509, está
afectada. Se ha asignado el identificador CVE-2019-3829 para esta
vulnerabilidad.
Recomendación
- Actualizar GnuTLS a la versión 3.6.7 o posteriores.
- GNUTLS-SA-2019-03-27 https://www.gnutls.org/security-new.html#GNUTLS-SA-2019-03-27