Обновление GnuTLS 3.4.13 с устранением уязвимости

Все новости из мира ОС Linux, BSD, Unix
Ответить
Аватара пользователя
[Ботя]
Тролль
Тролль
Сообщения: 89719
Зарегистрирован: 07 мар 2019, 15:48
ОС: MSDOS

Обновление GnuTLS 3.4.13 с устранением уязвимости

Сообщение [Ботя] » 07 июн 2016, 14:30

--------
Размещено: Сегодня, 10:37

В GnuTLS 3.4.13, свободной библиотеке с реализацией протоколов SSL, TLS и DTLS и функций для работы с различными типами сертификатов, устранена критическая уязвимость, позволяющая перезаписать произвольные системные файлы через установку переменной окружения GNUTLS_KEYLOGFILE перед запуском setuid-приложений, связанных с libgnutls. Переменная GNUTLS_KEYLOGFILE позволяет определить файл для сохранения лога сеансовых ключей, указав в GNUTLS_KEYLOGFILE, например, /etc/passwd злоумышленник может перезаписать содержимое. Проблема проявляется только в выпуске GnuTLS 3.4.12, опубликованном 20 мая, и связана с применением в libgnutls небезопасного способа получения настроек через переменные окружения.

Подробнее...
Ответить

Вернуться в «Новости *nix»