GnuTLS‘read_server_hello’函数缓冲区溢出漏洞

漏洞信息详情

GnuTLS‘read_server_hello’函数缓冲区溢出漏洞

• CNNVD编号：CNNVD-201406-024
• 危害等级： 中危
  
  
• CVE编号：
  CVE-2014-3466
  
• 漏洞类型：
  
  
  缓冲区溢出
  
• 发布时间：
  
  2014-06-05
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2014-06-05
  
• 厂        商：
  
  gnu
• 漏洞来源：

GnuTLS是比利时Nikos Mavrogiannopoulos和瑞典Simon Josefsson软件开发者共同研发的一个免费的用于实现SSL、TLS和DTLS协议的安全通信库。

GnuTLS的lib/gnutls_handshake.c文件中的‘read_server_hello’函数存在缓冲区溢出漏洞。远程攻击者可借助ServerHello消息中的长会话ID利用该漏洞造成拒绝服务（内存损坏）或执行任意代码。以下版本受到影响：GnuTLS 3.1.24及之前的版本，3.2.15之前的3.2.x版本，3.3.4之前的3.3.x版本。

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：

http://www.gnutls.org/news.html

来源:DEBIAN

名称:DSA-2944

链接:http://www.debian.org/security/2014/dsa-2944

来源:bugzilla.redhat.com

链接:https://bugzilla.redhat.com/show_bug.cgi?id=1101932

来源:www.gnutls.org

链接:http://www.gnutls.org/security.html

来源:www.gitorious.org

链接:https://www.gitorious.org/gnutls/gnutls/commit/688ea6428a432c39203d00acd1af0e7684e5ddfd