Vulnerabilidad de evasión de autenticación en GnuTLS
Fecha de publicación: 04/06/2020
Importancia:
Alta
Recursos afectados:
GnuTLS, versión 3.6.4.
Descripción:
Se ha publicado una vulnerabilidad en el servidor TLS de GnuTLS que podría permitir a un atacante eludir la autenticación en TLS 1.3 y recuperar las conversaciones anteriores en TLS 1.2.
Solución:
Actualizar a la versión 3.6.14 o posteriores.
Detalle:
Los servidores de GnuTLS son capaces de utilizar los tickets emitidos por cada uno de ellos sin tener acceso a la clave secreta generada por gnutls_session_ticket_key_generate(). Esto podría permitir a un atacante MITM, sin credenciales válidas, reanudar las sesiones con un cliente que haya establecido previamente una conexión con un servidor con credenciales válidas. Se ha reservado el identificador CVE-2020-13777 para esta vulnerabilidad.
Etiquetas:
Actualización, Comunicaciones, Vulnerabilidad
Powered by WPeMatico
