Grave bug en GnuTLS pone en peligro a los clientes SSL Linux

El bug (CVE-2014-3466) fue descubierto independientemente por Joonas Kuorilehto de la firma de seguridad Codenomicon, la misma empresa de seguridad que descubrió la mayor vulnerabilidad de Internet: Heartbleed. Eso sí, a diferencia de Heartbleed, la biblioteca GnuTLS no está tan ampliamente desplegada como OpenSSL.

La vulnerabilidad en GnuTLS reside en la forma que analiza el identificador de sesión de la respuesta del servidor durante el handshake TLS. El problema es que no comprueba la longitud del valor del identificador de sesión en el mensaje ServerHello, lo que permitiría a un atacante enviar un valor excesivamente largo con el fin de ejecutar un desbordamiento de búfer:



El fallo sólo puede ser explotado mediante el envío de payloads maliciosos desde el servidor a los clientes que establecen conexiones HTTPS cifradas.

Ya existe una prueba de concepto para esta vulnerabilidad que afecta a varios sistemas operativos basados en Linux y cientos de paquetes de software. Por suerte, el proyecto GNUTLS ha publicado las versiones 3.1.25 , 3.2.15 y 3.3.3 para parchear la vulnerabilidad.

Fuentes:

- GnuTLS Flaw Leaves SSL Clients Vulnerable to Remote Code Execution
- Bug in GnuTLS allows hackers to run malicious code in Your Linux
- Critical bug in GnuTLS crypto library could allow malicious code execution
- Technical Analysis Of The GnuTLS Hello Vulnerability * grandes!

- Linux hit by GnuTLS exploit, follows Heartbleed model

Comentarios