1 de abril de 2019

Múltiples vulnerabilidades en la librería GnuTLS

Se han detectado dos vulnerabilidades de criticidad alta, una de ellas encontrada por el investigador Tavis Ormandy de Google Project Zero. Un atacante podría generar un cierre inesperado del servidor o comprometer los certificados, catalogadas Importancia: 4 - Alta
Recursos afectados:
  • Librería GnuTLS versiones desde la 3.5.8 y anteriores a la 3.6.7.
Detalle de vulnerabilidades
·        Un atacante que envíe un mensaje TLS1.3 asíncrono, mal formado, podría generar un cierre inesperado del servidor a través de un acceso no válido al puntero. Se ha reservado el identificador CVE-2019-3836 para esta vulnerabilidad.
·   Una corrupción de memoria debida a una doble liberación (double free) en la API de verificación de certificados podría comprometer los mismos. Cualquier aplicación, cliente o servidor, que verifique certificados X.509, está afectada. Se ha asignado el identificador CVE-2019-3829 para esta vulnerabilidad.
Recomendación
Más información
Fuente: INCIBE