GnuTLS TLS记录处理堆内存破坏漏洞
GnuTLS TLS记录处理堆内存破坏漏洞
发布日期:2012-03-21
更新日期:2012-03-22
受影响系统:
GNU GnuTLS 3.0.14
不受影响系统:
GNU GnuTLS 3.0.15
描述:
--------------------------------------------------------------------------------
BUGTRAQ ID: 52667
CVE ID: CVE-2012-1573
GnuTLS是SSL、TLS和DTLS的开源实现,用APIs、X.509、PKCS #12、OpenPGP和其他安全数据类型进行网络通信加密。
GnuTLS 3.0.14的分组密码解密逻辑认为包含块尺寸倍数数据的记录可用于解密处理,通过创建具有有效IV的损坏GenericBlockCipher结构,将握手消息长度保持其原始值并在结尾处去除其他内容,可导致堆破坏。
<*来源:Matthew Hall
链接:http://blog.mudynamics.com/2012/03/20/gnutls-and-libtasn1-vulns/
*>
建议:
--------------------------------------------------------------------------------
厂商补丁:
GNU
---
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://www.gnu.org
GnuTLS 的详细介绍:请点这里
GnuTLS 的下载地址:请点这里
Mac OS X 10.6 下安装 GnuTLS
CentOS编译安装新版GnuTLS
JSSE和GnuTLS配合来实现Java和C的安全通信
JSSE和GnuTLS配合的时候证书的生成
评论暂时关闭