PT-2024-2444 · Gnutls+8 · Gnutls+8
William Woodruff
+1
·
Publicado
2024-03-20
·
Atualizado
2025-02-03
·
CVE-2024-28835
CVSS v3.1
5.0
Média
| Vetor | AV:L/AC:L/PR:L/UI:R/S:U/C:N/I:N/A:H |
Nome do software vulnerável e versões afetadas
Versões do GnuTLS anteriores à 3.8.3
Descrição
Uma falha na biblioteca GnuTLS está relacionada a deficiências no tratamento de estados excepcionais ao analisar o parâmetro
cert list size na função gnutls x509 trust list verify crt2(). Essa falha pode ser explorada por um invasor para causar uma negação de serviço ao passar uma cadeia de certificados especialmente criada na codificação PEM para o certtool. A vulnerabilidade também pode ser acionada ao verificar um pacote .pem especialmente criado usando o comando “certtool --verify-chain”, o que pode levar à falha do aplicativo. Ataques remotos são possíveis, mas nenhuma exploração foi relatada até o momento.Recomendações
Para versões do GnuTLS anteriores à 3.8.3, atualize o GnuTLS imediatamente para evitar possíveis ataques remotos. Como solução temporária, considere restringir o uso do comando
certtool --verify-chain até que um patch seja aplicado. Evite usar o comando certtool com pacotes .pem não confiáveis para minimizar o risco de exploração.Correção
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Alt Linux
Almalinux
Astra Linux
Gnutls
Linuxmint
Red Hat
Rocky Linux
Suse
Ubuntu