Множественные уязвимости в GnuTLS

Дата публикации:
18.05.2009
Дата изменения:
18.05.2009
Всего просмотров:
1567
Опасность:
Средняя
Наличие исправления:
Да
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
CVE-2009-1415
CVE-2009-1416
CVE-2009-1417
Вектор эксплуатации:
Удаленная
Воздействие:
Отказ в обслуживании
Обход ограничений безопасности
Спуфинг атака
Компрометация системы
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
GnuTLS 2.x
Уязвимые версии: GnuTLS версии до 2.6.6

Описание:
Обнаруженные уязвимости позволяют удаленному пользователю произвести спуфинг атаку, обойти некоторые ограничения безопасности, вызвать отказ в обслуживании и скомпрометировать целевую систему.

1. Уязвимость существует из-за ошибки при обработке некорректных DSA ключей. Удаленный пользователь может с помощью некорректного DSA ключа вызвать освобождение памяти и аварийно завершить работу клиентского приложения или выполнить произвольный код на целевой системе.

2. Уязвимость существует из-за того, что приложение генерирует RSA ключи вместо DSA ключей, что делает приводит к созданию потенциально слабых подписей.

3. Уязвимость существует из-за того, что "gnutls-cli" приложение некорректно проверяет даты активации и окончания строка службы X.509 сертификатов. Злоумышленник может заставить приложение принять некорректный сертификат.

URL производителя: www.gnu.org/software/gnutls/

Решение: Установите последнюю версию 2.6.6 с сайта производителя.

Ссылки: http://article.gmane.org/gmane.comp.encryption.gpg.gnutls.devel/3515
http://article.gmane.org/gmane.comp.encryption.gpg.gnutls.devel/3516
http://article.gmane.org/gmane.comp.encryption.gpg.gnutls.devel/3517

или введите имя

CAPTCHA