Se ha anunciado una vulnerabilidad de desbordamiento de búfer en la librería GnuTLS quepodría permitir a un atacante remoto tomar el control de los sistemas afectados.
GnuTLS es una librería de comunicaciones segura que implementa, entre otros protocolos, SSL, TLS y DTLS. Aunque no es tan popular como la librería OpenSSL, GnuTLS también es ampliamente usada. Se incluye por defecto en diversas distribuciones Linux, incluyendo Red Hat, Ubuntu o Debian. Un gran número de productos Linux también dependen de ella para el soporte de SSL/TLS.
La
vulnerabilidad, con
CVE-2014-3466, puede permitir a un servidor remoto enviar durante el establecimiento de la sesión, un valor ID de sesión específicamente manipulado. De esta forma se puede
provocar un desbordamiento de búfer y lograr la ejecución de código arbitrario en el sistema cliente.
Más información:
Technical Analysis Of The GnuTLS Hello Vulnerability
About Security Advisories
Antonio Ropero
