Se ha publicado la versión 2.12 de Libtasn1 y la versión 3.0.17 de GnuTLS que corrigen dos problemas de seguridad que podrían provocar una denegación de servicio.
GnuTLS es una librería de
comunicaciones segura que implementa, entre otros protocolos, SSL, TLS y DTLS.
Ofrece una API (Application Programming Interface) para estos protocolos y para
los estándares de criptografía de clave pública X.509 y PKCS # 12. Libtasn1 es
la librería ASN.1 usada por GnuTLS y otros proyectos GNU para manejar estructuras
X.509, Kerberos, etc.
El primer error se encuentra en
la función asn1_get_length_der del fichero decoding.c de la librería Libtasn1.
Esta no maneja correctamente ciertos valores de elevada longitud y puede ser
explotada por un atacante remoto a través de una estructura ASN.1 especialmente
manipulada. Se ha solucionado en la versión 2.12 de la librería como proyecto
independiente.
El segundo error se encuentra en
el fichero cipher.c de la librería libgnutls al no manejar adecuadamente estructuras
GenericBlockCipher anidadas en registros TLS. Puede ser aprovechado por un
atacante remoto a través de una estructura GenericBlockCipher especialmente manipulada.
Se recomienda actualizar a las versiones 3.0.17 o 2.12.18.
Los CVE asignados a estas
vulnerabilidades han sido CVE-2012-1569
para el primer error y CVE-2012-1573
para el segundo. Las versiones corregidas pueden ser descargada desde su página
oficial.
Más información
GNU Security Advisories
Jose Ignacio Palacios
Ortega
Twitter: @jpalaciosortega
No hay comentarios:
Publicar un comentario