跳至主內容

GnuTLS TLS 多個漏洞

最後更新 2012年03月22日 10:36 發佈日期: 2012年03月22日 2316 觀看次數

風險: 中度風險

類型: 保安軟件及應用設備 - 保安軟件及應用設備

類型: 保安軟件及應用設備

在 GnuTLS 發現多個漏洞,惡意的人可透過程式庫,控制受影響應用程式。

  1. 由於某些函數(例如: "asn1_der_decoding()")未正確地檢查從"asn1_get_length_der()"函數傳回ASN1的長度結果,導致在 GnuTLS libtasn1 Tiny ASN.1 內產生錯誤。攻擊者可利用漏洞,透過特製的 X.509 客戶端證書,導致程式庫使用過長的值及記憶體損毀。
  2. 在分組密碼解密邏輯產生錯誤,當處理 TLS 記錄時,攻擊者可透過特製的"GenericBlockCipher"結構,利用漏洞,導致記憶體損毀。
  3. 一些在libtasn1 程式庫的漏洞,可被利用導致記憶體損毀。

影響

  • 遠端執行程式碼

受影響之系統或技術

  • GnuTLS 2.12.18 以前版本
  • GnuTLS 3.0.16 以前版本

解決方案

在安裝軟體之前,請先瀏覽軟體供應商之網站,以獲得更多詳細資料。

  • 更新至版本 2.12.18 或 3.0.16.

漏洞識別碼


資料來源


相關連結