Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre

SYNTHÈSE DE LA VULNÉRABILITÉ

Un attaquant peut provoquer un buffer overflow dans DANE de
GnuTLS, afin de mener un déni de service, et éventuellement
d’exécuter du code.

– Produits concernés : Unix (plateforme)
– Gravité : 2/4
– Date création : 31/10/2013

DESCRIPTION DE LA VULNÉRABILITÉ

Le protocole DANE (DNS-Based Authentication of Named Entities)
permet d’indiquer le certificat SSL/TLS à employer.

La bibliothèque GnuTLS implémente DANE. Cependant, si le serveur
indique plus de 4 entrées DANE, un débordement d’un octet se
produit. Cette vulnérabilité provient d’une correction incomplète
de VIGILANCE-VUL-13647 (https://vigilance.fr/arbre/1/13647?w=50517).

Un attaquant peut donc provoquer un buffer overflow dans DANE de
GnuTLS, afin de mener un déni de service, et éventuellement
d’exécuter du code.

ACCÈS AU BULLETIN VIGIL@NCE COMPLET

http://vigilance.fr/vulnerabilite/GnuTLS-buffer-overflow-de-DANE-13681