水曜日, 5月 05, 2010

GnuTLSのBof(メモリーエラー)セキュリティ問題(CVE-2010-0731)


現在沢山UNIXサービスがGnuTLS認証を使っています、例えばapache mod_gnutls、Phyton/PyGnuTLS、など)。GnuTLS v1.xを使っている64ビットbig-endianのUNIXシステムは未だ沢山あります。

GnuTLSバーションBEFOREバーション1.2.1ライブラリー(gnutls_x509_crt_get_serialのfunctionで)の中にバグがあります。
本問題に影響されたシステムはbig-endianと64-bitプラットフォームです。
問題の説明は↓
バグの情報を使いハッカーが認証一覧(CRL)をバイパスが出ます、それともある条件のストリング認証を送るとBof(Buffer-overflow/メモリーエラー)が出てアプリケーションのDoS問題となります。
アドバイサリーは最新版64ビットbig-endianのアップグレードも出来ましたので(バーション2.Xもステーブルですし)GnuTLSとそれぞれの関係アプリケーションをアップグレードして下さい。
---
株式会社ケイエルジェイテック
http://www.kljtech.com
セキュリティモニターセンター

0 件のコメント:

コメントを投稿