Corregida 2 vulnerabilidades en GnuTLS


Se ha publicado la versión 2.12 de Libtasn1 y la versión 3.0.17 de GnuTLS que corrigen dos problemas de seguridad que podrían provocar una denegación de servicio.





GnuTLS es una librería de comunicaciones segura que implementa, entre otros protocolos, SSL, TLS y DTLS. Ofrece una API (Application Programming Interface) para estos protocolos y para los estándares de criptografía de clave pública X.509 y PKCS # 12. Libtasn1 es la librería ASN.1 usada por GnuTLS y otros proyectos GNU para manejar estructuras X.509, Kerberos, etc.

El primer error se encuentra en la función asn1_get_length_der del fichero decoding.c de la librería Libtasn1. Esta no maneja correctamente ciertos valores de elevada longitud y puede ser explotada por un atacante remoto a través de una estructura ASN.1 especialmente manipulada. Se ha solucionado en la versión 2.12 de la librería como proyecto independiente.

El segundo error se encuentra en el fichero cipher.c de la librería libgnutls al no manejar adecuadamente estructuras GenericBlockCipher anidadas en registros TLS. Puede ser aprovechado por un atacante remoto a través de una estructura GenericBlockCipher especialmente manipulada. Se recomienda actualizar a las versiones 3.0.17 o 2.12.18.

Los CVE asignados a estas vulnerabilidades han sido CVE-2012-1569 para el primer error y CVE-2012-1573 para el segundo. Las versiones corregidas pueden ser descargada desde su página oficial.

Más información

GNU Security Advisories
http://www.gnu.org

Fuente:
Por Jose Ignacio Palacios Ortega
http://www.hispasec.com
Twitter: @jpalaciosortega



Otras noticias de interés:

Primera Charla del año de Velug-Maracay en el IUTAR de Maracay
El día de hoy confirmaron desde la sede principal del Instituto Universitario de Tecnología Antonio Ricaurte (IUTAR) la charla a efectuarse este Sábado 29 de Enero en las Instalaciones ubicadas en la redoma de la Plaza San Juan de la 19 de Abril ...
Symantec: Peligros de las redes sociales
Symantec ha presentado un estudio sobre el panorama actual de las redes sociales en el que alerta sobre el aumento de los ataques de spam y phising, y explica las fuentes a través de las cuales se difunden esos contenidos maliciosos....
Importancia de la gestión de incidentes para la seguridad de la información
La gestión de los incidentes de seguridad es un aspecto muy importante para lograr el mejoramiento continuo de la seguridad de la información de cualquier compañía, el principal inconveniente es que muchas organizaciones no lo utilizan adecuadame...
DNS Changer podría dejarlo sin conexión a Internet
Tras el arresto de seis ciudadanos estonios acusados de utilizar este malware capaz de funcionar tanto en plataformas Windows como Mac, el FBI ha confiscado los servidores DNS que utilizaban para redirigir a las víctimas hacia sitios ilegítimos. ...
Vulnerabilidades en los antivirus Norton de Symantec y Dr.Web
Dos desbordamientos de búfer en los antivirus Symantec Norton y Dr.Web permiten ejecutar código de forma arbitraria y conseguir el control del sistema afectado....
Divulgación del código fuente de las aplicaciones JRUN
Es posible obtener el código fuente de las aplicaciones .ASA y .JSP residentes en un servidor JRun 4.0 simplemente añadiendo unos caracteres especiales en la URL....
Vulnerabilidad en IE al usar cualquier objeto COM
Según una alerta publicada por el US-CERT, Microsoft Internet Explorer (IE), puede intentar utilizar objetos COM que no están destinados para ser empleados en el navegador. Esto puede provocar una variedad de comportamientos no deseados en ...
Revisión de seguridad para Chrome
El equipo de desarrollo de Google Chrome continúa trabajando en mejorar este navegador y prueba de ello es el lanzamiento de la versión 2.0.172.33, que tiene como fin resolver una vulnerabilidad de seguridad calificada como crítica....
Correos electrónicos que se "auto-destruyen"
La última versión del programa Office del gigante informático Microsoft, permite a sus usuarios enviar correos electrónicos que se auto-destruyen después de un cierto tiempo....
Leet speak, la jerga de los informáticos!
Leet speak o leet (1337 5p34k o 1337 en la escritura leet) es un tipo de escritura con caracteres alfanuméricos usado por algunos grupos de personas caracterizadas por tener un gran conocimiento en informática, o por algunas comunidades y usuarios ...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • corregida
  • debian
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gnutls
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra