William Woodruff

**Nome do software vulnerável e versões afetadas** Versões do GnuTLS anteriores à 3.8.3 **Descrição** Uma falha na biblioteca GnuTLS está relacionada a deficiências no tratamento de estados excepcionais ao analisar o parâmetro `cert list size` na função `gnutls x509 trust list verify crt2()`. Essa falha pode ser explorada por um invasor para causar uma negação de serviço ao passar uma cadeia de certificados especialmente criada na codificação PEM para o `certtool`. A vulnerabilidade também pode ser acionada ao verificar um pacote .pem especialmente criado usando o comando “certtool --verify-chain”, o que pode levar à falha do aplicativo. Ataques remotos são possíveis, mas nenhuma exploração foi relatada até o momento. **Recomendações** Para versões do GnuTLS anteriores à 3.8.3, atualize o GnuTLS imediatamente para evitar possíveis ataques remotos. Como solução temporária, considere restringir o uso do comando `certtool --verify-chain` até que um patch seja aplicado. Evite usar o comando `certtool` com pacotes .pem não confiáveis para minimizar o risco de exploração.