微点交流论坛

标题: GnuTLS多个漏洞 [打印本页]

作者: pioneer 时间: 2008-5-23 14:43 标题: GnuTLS多个漏洞

来源

secunia.com

软件名

GnuTLS 1.x
GnuTLS 2.x

描述

1)处理包含"Server Name"扩展名的"Client Hello"消息时存
在的越界访问错误，可通过特定的TLS包来导致堆缓冲溢出
溢出成功后可执行任意代码
2)处理包含多个"Client Hello"消息的TCLS包时存在的空指
针被提领错误可崩溃受影响的应用程序
3)lib/gnutls_cipher.c
的"_gnutls_ciphertext2compressed()"函数中存在的符号错
误可通过特定的加密的TLS数据来导致越界读取和崩溃受影响
的应用程序
该漏洞在V2.2.4之前的版本中已经报告

解决方案

更新到V2.2.5或应用补丁(详见厂商建议细节)

欢迎光临微点交流论坛 (http://bbs.micropoint.com.cn/)

bbs.micropoint.com.cn