GnuTLS, falla scoperta e patchata

Un'altra vulnerabilità scovata nella popolare libreria per le connessioni Internet sicure. Un bug potenzialmente pericoloso per cui è già stata distribuita una patch per tutte le versioni supportate
Un'altra vulnerabilità scovata nella popolare libreria per le connessioni Internet sicure. Un bug potenzialmente pericoloso per cui è già stata distribuita una patch per tutte le versioni supportate

I ricercatori hanno individuato una nuova vulnerabilità in GnuTLS, importante libreria software del mondo Linux già oggetto di polemiche qualche mese or sono in seguito alla scoperta di un baco che sembrava una vera e propria backdoor della NSA.

La nuova falla è stata scoperta dallo sviluppatore Red Hat Nikos Mavrogiannopoulos, e riguarda il modo in cui la libreria GnuTLS esegue il parsing degli ID di sessione durante l’avvio di una comunicazione su protocolli TLS/SSL. Un ID particolarmente lungo potrebbe scatenare un errore di buffer overflow nel client, portando al crash del sistema o alla possibile esecuzione di codice malevolo.

Mavrogiannopoulos ha già provveduto a rilasciare una patch inclusa in GnuTLS versione 3.1.25, 3.2.15 e 3.3.3, assicurandosi che la libreria tenga in debita considerazione non solo il controllo delle dimensioni dei pacchetti in arrivo come in precedenza, ma anche la lunghezza massima dell’ID di sessione affetto dal bug.

La patch è ovviamente già stata implementata in Red Hat, mentre l’aggiornamento delle versioni vulnerabili di GnuTLS è responsabilità degli utenti, degli amministratori di sistema e degli sviluppatori al lavoro su un ambiente Linux.

Alfonso Maruccia

Link copiato negli appunti

Ti potrebbe interessare

05 06 2014
Link copiato negli appunti