L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base de données de vigilance et des outils pour y remédier.

Vulnérabilité de Déni de service de GnuTLS

Synthèse de la vulnérabilité 

En créant une chaîne de certification très longue, un attaquant peut mener un déni de service dans GnuTLS.
Produits vulnérables : Unix (plateforme) ~ non exhaustif.
Gravité de cette faille : 1/4.
Date de création : 03/08/2004.
Références de ce bulletin : BID-10839, V6-UNIXGNUTLSCERTCHAINDOS, VIGILANCE-VUL-4308.

Description de la vulnérabilité 

La bibliothèque GnuTLS implémente les protocoles TLS et SSL, notamment employés pour créer des sites web sécurisés (https).

Un certificat X.509 est composé (certains champs ne sont pas présentés) :
 - DN (Distinguished Name) du propriétaire (sujet)
 - clé publique du propriétaire
 - DN de l'autorité de certification
 - signature de ce certificat par l'autorité de certification
Un tel certificat indique que l'autorité de certification certifie le propriétaire.

Les certificats X.509 peuvent être chaînés afin d'utiliser des autorités de certification intermédiaires. Par exemple :
 - le certificat 1 indique que l'autorité de certification racine certifie CA1
 - le certificat 2 indique que CA1 certifie CA2
 - le certificat 3 indique que CA2 certifie le client
Un utilisateur ne connaissant pas le client doit alors valider successivement ces 3 certificats.

Cependant, la bibliothèque GnuTLS ne limite pas la taille de la chaîne de certification. Un attaquant peut donc créer une chaîne très longue et de grandes clés. L'application utilisant GnuTLS emploie alors de nombreuses ressources pour valider ce certificat.

Cette vulnérabilité permet ainsi à un attaquant de mener un déni de service sur les applications utilisant GnuTLS.
Bulletin complet, filtrage par logiciel, emails, correctifs, ... (Demandez votre essai gratuit)

Ce bulletin de vulnérabilité concerne les logiciels ou systèmes comme Unix (plateforme) ~ non exhaustif.

Notre équipe Vigil@nce a déterminé que la gravité de cette alerte cyber-sécurité est faible.

Le niveau de confiance est de type source unique, avec une provenance de serveur internet.

Un attaquant avec un niveau de compétence expert peut exploiter cette annonce cybersécurité.

Solutions pour cette menace 

Solution pour Déni de service de GnuTLS.
La version 1.0.17 est corrigée :
  http://www.gnu.org/software/gnutls/
Bulletin complet, filtrage par logiciel, emails, correctifs, ... (Demandez votre essai gratuit)

Service de veille sur les vulnérabilités informatiques 

Vigil@nce fournit un patch de vulnérabilité de système. La veille sécurité Vigil@nce publie des bulletins de vulnérabilités pour les failles qui impactent le système d'information.