GnuTLS、バッファオーバーフローの脆弱性を確認

元記事：GnuTLS Security advisories : GNUTLS-SA-2014-3 Memory corruption

元記事：Red Hat Linux Security Advisory : RHSA-2014:0595-1 Important: gnutls security update

元記事：Debian Security Advisory : DSA-2944-1 gnutls26 — security update

元記事：CentOS Errata and Security Advisory : CESA-2014:0595 Important CentOS 6 gnutls Update

元記事：Ubuntu Security Notice : USN-2229-1: GnuTLS vulnerability

HP：GnuTLS

発表日時 2014/6/1

GnuTLSにバッファオーバーフローの脆弱性が確認された。影響を受けるのはGnuTLS 3.2.15以前、GnuTLS 3.1.25以前のバージョンで、GNU TLSがTLS/SSLハンドシェイクのServer HelloメッセージからセッションIDを解析する際の脆弱性により長いセッションIDを送るためにバッファオーバーフロー状態に陥る。この脆弱性が悪用されるとTLS/SSLクライアントで任意のコードを実行される恐れがあった。解決策としてバージョン3.1.25、3.2.15、3.3.3が公開されており、アップデートによりこの脆弱性は解消される。

Tweet