Risques
- Déni de service à distance
- Exécution de code arbitraire à distance
Systèmes affectés
- Les versions de GnuTLS antérieures à 2.4.1.
Résumé
Une vulnérabilité a été identifiée dans la bibliothèque GnuTLS. L'exploitation de cette dernière permettrait sous certaines conditions à une personne distante de perturber voire d'exécuter du code arbitraire sur le système vulnérable.
Description
Une vulnérabilité a été identifiée dans la bibliothèque GnuTLS. Elle concerne la fonction _gnutls_handshake_hash_buffers_clear qui ne manipulerait pas correctement certaines données.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation). Il faut noter que la nouvelle branche de GnuTLS (2.5.x) est en cours de développement depuis le début du mois de juillet. Les dernières modifications ont été effectuées dans la version 2.5.4.
Cependant, à la date de rédaction de cet avis, la dernière version stable est la 2.4.1.
Documentation
- Annonces de sécurité GnuTLS : http://www.gnu.org/software/gnutls/security.html
- Détails du correctif appliqué dans la branche 2.4.1 : http://article.gmane.org/gmane.comp.encryption.gpg.gnutls.devel/2947
- Répertoires de téléchargement de la bibliothèque GnuTLS : ftp://ftp.gnutls.org/pub/gnutls/
- Référence CVE CVE-2008-2377 https://www.cve.org/CVERecord?id=CVE-2008-2377
