PT-2020-2140 · Gnu+5 · Gnutls+5

Publicado

2020-03-27

·

Atualizado

2022-07-13

·

CVE-2020-11501

CVSS v2.0

9.4

Alta

VetorAV:N/AC:L/Au:N/C:C/I:C/A:N
Nome do software vulnerável e versões afetadas
Versões 3.6.3 a 3.6.12 do GnuTLS
Descrição
O problema está relacionado à função send client hello na biblioteca criptográfica GnuTLS, que apresenta falhas nos algoritmos criptográficos utilizados. Isso pode permitir que um invasor remoto obtenha acesso não autorizado a dados confidenciais ou comprometa a integridade dos dados. O problema surge porque o cliente DTLS sempre utiliza 32 bytes ‘0’ em vez de um valor aleatório, não contribuindo com aleatoriedade para uma negociação DTLS e, assim, violando as garantias de segurança do protocolo DTLS.
Recomendações
Para as versões 3.6.3 a 3.6.12 do GnuTLS, atualize para a versão 3.6.13 ou posterior para resolver o problema. Como solução temporária, considere restringir o uso do protocolo DTLS até que um patch esteja disponível. Evite usar o cliente DTLS com as versões afetadas do GnuTLS para minimizar o risco de exploração.

Correção

Use of Insufficiently Random Values

Use of a Broken Cryptographic Algorithm

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-330CWE-327

Identificadores relacionados

ALT-PU-2020-1648
ALT-PU-2020-1661
BDU:2020-02038
CESA-2020_1998
CVE-2020-11501
DSA-4652-1
MGASA-2020-0168
OPENSUSE-SU-2020:0501-1
OPENSUSE-SU-2020_0501-1
RHSA-2020:1998
RHSA-2020_1998
SUSE-SU-2020:0948-1
SUSE-SU-2020:0948-2
SUSE-SU-2020_0948-1
SUSE-SU-2020_0948-2
USN-4322-1

Produtos afetados

Alt Linux
Centos
Gnutls
Red Hat
Suse
Ubuntu