Vulnerabilidad de ejecución de código en la librería GnuTLS

Vulnerabilidad de ejecución de código en la librería GnuTLS

Se ha anunciado una vulnerabilidad de desbordamiento de búfer en la librería GnuTLS que podría permitir a un atacante remoto tomar el control de los sistemas afectados.
GnuTLS es una librería de comunicaciones segura que implementa, entre otros protocolos, SSL, TLS y DTLS. Aunque no es tan popular como la librería OpenSSL, GnuTLS también es ampliamente usada. Se incluye por defecto en diversas distribuciones Linux, incluyendo Red Hat, Ubuntu o Debian. Un gran número de productos Linux también dependen de ella para el soporte de SSL/TLS.
La vulnerabilidad, con CVE-2014-3466, puede permitir a un servidor remoto enviar durante el establecimiento de la sesión, un valor ID de sesión específicamente manipulado. De esta forma se puede provocar un desbordamiento de búfer y lograr la ejecución de código arbitrario en el sistema cliente.
Para corregir el problema se han publicado las versiones 3.3.3, 3.2.15 y 3.1.25 de GnuTLS,. Sin embargo poco después también se ha lanzado la versión 3.3.4 para corregir otro problema con hardware de aceleración no relacionado con la seguridad.
Más información:
Technical Analysis Of The GnuTLS Hello Vulnerability
About Security Advisories
Antonio Ropero
Twitter: @aropero