gnutls-1.4.1-7.2.0.1.AXS3
エラータID: AXSA:2012-446:02
リリース日:
2012/03/30 Friday - 14:34
題名:
gnutls-1.4.1-7.2.0.1.AXS3
影響のあるチャネル:
Asianux Server 3 for x86_64
Asianux Server 3 for x86
Severity:
High
Description:
以下項目について対処しました。
[Security Fix]
- GnuTLS の gnutls_session_get_data には非標準のセッションの再開を行うクライアント上で使用される場合バッファオーバーフローが存在し,大きな SessionTicket によって,リモートの TLS サーバがサービス拒否 (アプリケーションのクラッシュ) を引き起こす脆弱性があります。(CVE-2011-4128)
- GnuTLS の GNU Libtasn1 の asn1_get_length_der 関数は特定の大きな長さの値を適切に処理できず,巧妙に細工された ASN.1 構造によって,リモートの攻撃者がサービス拒否 (ヒープメモリの破壊とアプリケーションのクラッシュ) を引き起こしたり,あるいは詳細不明の影響がある脆弱性があります。(CVE-2012-1569)
- GnuTLS の libgnutls の gnutls_cipher.c はブロック暗号で暗号化されているデータを適切に処理できず,巧妙に細工されたレコードによって,リモートの攻撃者がサービス拒否 (ヒープメ モリの破壊とアプリケーションのクラッシュ) を引き起こす脆弱性があります。(CVE-2012-1573)
一部CVEの翻訳文はJVNからの引用になります。
http://jvndb.jvn.jp/
解決策:
パッケージをアップデートしてください。
CVE:
CVE-2012-1569
The asn1_get_length_der function in decoding.c in GNU Libtasn1 before 2.12, as used in GnuTLS before 3.0.16 and other products, does not properly handle certain large length values, which allows remote attackers to cause a denial of service (heap memory corruption and application crash) or possibly have unspecified other impact via a crafted ASN.1 structure.
The asn1_get_length_der function in decoding.c in GNU Libtasn1 before 2.12, as used in GnuTLS before 3.0.16 and other products, does not properly handle certain large length values, which allows remote attackers to cause a denial of service (heap memory corruption and application crash) or possibly have unspecified other impact via a crafted ASN.1 structure.
CVE-2011-4128
Buffer overflow in the gnutls_session_get_data function in lib/gnutls_session.c in GnuTLS 2.12.x before 2.12.14 and 3.x before 3.0.7, when used on a client that performs nonstandard session resumption, allows remote TLS servers to cause a denial of service (application crash) via a large SessionTicket.
Buffer overflow in the gnutls_session_get_data function in lib/gnutls_session.c in GnuTLS 2.12.x before 2.12.14 and 3.x before 3.0.7, when used on a client that performs nonstandard session resumption, allows remote TLS servers to cause a denial of service (application crash) via a large SessionTicket.
追加情報:
N/A
ダウンロード:
SRPMS
- gnutls-1.4.1-7.2.0.1.AXS3.src.rpm
MD5: f72c5de2b57f376d479d443e2501ff14
SHA-256: cb2f1966d9628b1fb309438f60397f1df03a6294dfad476ef517056d82f0d03b
Size: 3.89 MB
Asianux Server 3 for x86
- gnutls-1.4.1-7.2.0.1.AXS3.i386.rpm
MD5: cc3b03854b925309ca9513a82097e8ca
SHA-256: 81b15b303e2c3d2b492e99f6a49575fef56baed633cd280c4cc8672e307ce226
Size: 373.82 kB - gnutls-devel-1.4.1-7.2.0.1.AXS3.i386.rpm
MD5: 99d92987b3c3f04fb2c7f71c35036ca4
SHA-256: 971280f50ec456c8fea5015ac736ca98728d4789cb8c09643841cc9f62115eab
Size: 927.98 kB
Asianux Server 3 for x86_64
- gnutls-1.4.1-7.2.0.1.AXS3.x86_64.rpm
MD5: 8a4d298c4dbfc06d3695f416d4bfdd7c
SHA-256: e6b182b21492daa9ba39cb06b9b1ba93af181712dc13c0594678d6e427d261aa
Size: 387.28 kB - gnutls-devel-1.4.1-7.2.0.1.AXS3.x86_64.rpm
MD5: b4b47d38a00e23ac44b585e634369303
SHA-256: 3c71122ce71a6f56f1bd7eacf593d3d295e87f198be406202ea4320756384327
Size: 946.22 kB