Basque Cyber Security Centre - Centro Vasco de Ciberseguridad

Múltiples vulnerabilidades en la librería GnuTLS

Fecha de publicación: 28/03/2019

Importancia: Alta

Recursos afectados:

  • Librería GnuTLS versiones desde la 3.5.8 y anteriores a la 3.6.7.

Descripción:

Se han detectado dos vulnerabilidades de criticidad alta, una de ellas encontrada por el investigador Travis Ormandy de Google Project Zero. Un atacante podría generar un cierre inesperado del servidor o comprometer los certificados.

Solución:

Detalle:

  • Un atacante que envíe un mensaje TLS1.3 asíncrono, mal formado, podría generar un cierre inesperado del servidor a través de un acceso no válido al puntero. Se ha reservado el identificador CVE-2019-3836 para esta vulnerabilidad.
  • Una corrupción de memoria debida a una doble liberación (double free) en la API de verificación de certificados podría comprometer los mismos. Cualquier aplicación, cliente o servidor, que verifique certificados X.509, está afectada. Se ha asignado el identificador CVE-2019-3829 para esta vulnerabilidad.

Etiquetas: Actualización, SSL/TLS, Vulnerabilidad