Argitalpen data: 2020/06/04
Garrantzia: Altua
Kaltetutako baliabideak:
GnuTLS, 3.6.4 bertsioa.
Azalpena:
Ahultasun bat atzeman GnuTLS inplementazioaren TLS zerbitzarian. Horrela, erasotzaile batek TLS 1.3 egiaztatzea saihestu ahal izango luke, eta TLS 1.2 bertsioan aurreko elkarrizketak berreskuratu.
Konponbidea:
3.6.14 edo osteko bertsioen arabera eguneratzea.
Xehetasuna:
GnuTLS inplementazioaren zerbitzariak gai dira horietako bakoitzak jaulkitako tiketak erabiltzeko, gnutls_session_ticket_key_generate() sistemak sortutako gako sekretuaren beharrik gabe. Horrela izanik, MITM erasotzaile batek, egiaztatzeko datu baliagarririk gabe, aurretik datu zuzenekin hasitako konexio bateko saioak berreskuratu litzake. Ahultasun horretarako, CVE-2020-13777 identifikatzailea erreserbatu da.
Etiketak: Eguneraketa, Komunikazioa, Ahultasuna