Un bug recién descubierto en la biblioteca de código criptográfico GnuTLS pone a los usuarios de Linux y otros cientos de paquetes de código abierto en riesgo de ataques de malware subrepticias hasta que incorporan una desarrolladores fix empujado silenciosamente la semana pasada.
Servidores configurados de forma maliciosa pueden explotar el fallo mediante el envío de datos con formato incorrecto a los dispositivos que establecen conexiones HTTPS encriptados. Los dispositivos que se basan en una versión sin parche de GnuTLS pueden ser secuestrados a distancia por código malicioso de investigadores elección, seguridad del atacante que examinaron el arreglo advirtió. El error no fue parcheado hasta el viernes, con el lanzamiento de las versiones 3.1.25, 3.2.15 GnuTLS y 3.3.4. Mientras que el parche ha estado disponible durante tres días, será proteger a las personas sólo cuando el software GnuTLS dependientes que utilizan la ha incorporado. Conliteralmente cientos de paquetes que dependen de la bibliotecamúltiples sistemas operativos que dependen de la biblioteca, que puede llevar tiempo.
\ "Un error se encontró en el camino GnuTLS analizan los identificadores de sesión de mensajes ServerHello del apretón de manos TLS / SSL, \" unaentrada publicada Lunesen el Bug Red Hat explicó Tracker. \ "Un servidor malicioso podría utilizar este error para enviar un valor excesivamente larga sesión ID, que daría lugar a un desbordamiento de búfer en una aplicación cliente TLS / SSL se conecta utilizando GnuTLS, haciendo que la aplicación cliente se bloquee o posiblemente ejecutar código arbitrario. \"
Leer 3 párrafos restantesComentarios
Tweet |
No hay comentarios:
Publicar un comentario