Risque

  • Exécution de code arbitraire à distance ;
  • déni de service à distance.

Systèmes affectés

  • GnuTLS 1.x ;
  • GnuTLS 2.x ;
  • FileZilla 2.x ;
  • FileZilla 3.x.

Résumé

De multiples vulnérabilités ont été découvertes dans GnuTLS et permettent à une personne malveillante d'effectuer un déni de service ou une exécution de code arbitraire à distance.

Description

Plusieurs vulnérabilités de GnuTLS permettent à une personne malveillante d'effectuer un déni de service ou une exécution de code à distance. Ces vulnérabilités peuvent être exploitées via :

  • des messages Client Hello dans des packets TLS spécialement conçus ;
  • des données TLS chiffrées spécialement conçues exploitant une erreur dans la fonction _gnutls_ciphertext2compressed().

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation