Múltiples vulnerabilidades en la librería GnuTLS

Fecha de publicación: 28/03/2019

Importancia:
Alta

Recursos afectados:

  • Librería GnuTLS versiones desde la 3.5.8 y anteriores a la 3.6.7.

Descripción:

Se han detectado dos vulnerabilidades de criticidad alta, una de ellas encontrada por el investigador Travis Ormandy de Google Project Zero. Un atacante podría generar un cierre inesperado del servidor o comprometer los certificados.

Solución:

Detalle:

  • Un atacante que envíe un mensaje TLS1.3 asíncrono, mal formado, podría generar un cierre inesperado del servidor a través de un acceso no válido al puntero. Se ha reservado el identificador CVE-2019-3836 para esta vulnerabilidad.
  • Una corrupción de memoria debida a una doble liberación (double free) en la API de verificación de certificados podría comprometer los mismos. Cualquier aplicación, cliente o servidor, que verifique certificados X.509, está afectada. Se ha asignado el identificador CVE-2019-3829 para esta vulnerabilidad.

Encuesta valoración

Etiquetas:
Actualización, SSL/TLS, Vulnerabilidad

Powered by WPeMatico

Gustavo Genez

Informático de corazón y apasionado por la tecnología. La misión de este blog es llegar a los usuarios y profesionales con información y trucos acerca de la Seguridad Informática.