The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Обновление GnuTLS 3.4.13 с устранением уязвимости

07.06.2016 10:37

В GnuTLS 3.4.13, свободной библиотеке с реализацией протоколов SSL, TLS и DTLS и функций для работы с различными типами сертификатов, устранена критическая уязвимость, позволяющая перезаписать произвольные системные файлы через установку переменной окружения GNUTLS_KEYLOGFILE перед запуском setuid-приложений, связанных с libgnutls. Переменная GNUTLS_KEYLOGFILE позволяет определить файл для сохранения лога сеансовых ключей, указав в GNUTLS_KEYLOGFILE, например, /etc/passwd злоумышленник может перезаписать содержимое. Проблема проявляется только в выпуске GnuTLS 3.4.12, опубликованном 20 мая, и связана с применением в libgnutls небезопасного способа получения настроек через переменные окружения.

  1. Главная ссылка к новости (http://permalink.gmane.org/gma...)
  2. OpenNews: Увидела свет библиотека GnuTLS 3.5.0
  3. OpenNews: Ветка GnuTLS 3.4 переведена в разряд стабильных
  4. OpenNews: Новая техника атаки на SSL/TLS, которой подвержены 33% HTTPS-сайтов
  5. OpenNews: Выпуск LibreSSL 2.4.0
  6. OpenNews: Выпуск криптографической библиотеки Libgcrypt 1.7.0
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/44556-gnutls
Ключевые слова: gnutls
При перепечатке указание ссылки на opennet.ru обязательно


 Добавить комментарий
Имя:
E-Mail:
Текст:



Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру