Vigil@nce - GnuTLS : corruption de mémoire via ECC
novembre 2014 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant peut provoquer une corruption de mémoire via ECC de
GnuTLS, afin de mener un déni de service, et éventuellement
d’exécuter du code.
– Produits concernés : Fedora, MBS, openSUSE, RHEL, Ubuntu, Unix
(plateforme)
– Gravité : 2/4
– Date création : 12/11/2014
DESCRIPTION DE LA VULNÉRABILITÉ
La bibliothèque GnuTLS implémente SSL/TLS.
La fonction _gnutls_ecc_ansi_x963_export() du fichier
lib/gnutls_ecc.c exporte un certificat utilisant ECC (Elliptic
Curve Cryptography) au format X9.63. Cependant, un certificat
illicite corrompt la mémoire.
Un attaquant peut donc provoquer une corruption de mémoire via
ECC de GnuTLS, afin de mener un déni de service, et
éventuellement d’exécuter du code.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
http://vigilance.fr/vulnerabilite/GnuTLS-corruption-de-memoire-via-ECC-15628