发布日期:2012-03-21
更新日期:2012-03-22
受影响系统:
GNU GnuTLS 3.0.14
不受影响系统:
GNU GnuTLS 3.0.15
描述:
--------------------------------------------------------------------------------
BUGTRAQ ID: 52667
CVE ID: CVE-2012-1573
GnuTLS是SSL、TLS和DTLS的开源实现,用APIs、X.509、PKCS #12、OpenPGP和其他安全数据类型进行网络通信加密。
GnuTLS 3.0.14的分组密码解密逻辑认为包含块尺寸倍数数据的记录可用于解密处理,通过创建具有有效IV的损坏GenericBlockCipher结构,将握手消息长度保持其原始值并在结尾处去除其他内容,可导致堆破坏。
建议:
--------------------------------------------------------------------------------
厂商补丁:
GNU
---
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载: