GnuTLS证书验证安全绕过漏洞

CVE编号

CVE-2009-5138

利用情况

暂无

补丁情况

官方补丁

披露时间

2014-03-07

漏洞描述

GnuTLS是一款用于实现TLS加密协议的函数库。
GnuTLS存在验证安全绕过漏洞。允许远程攻击者通过信任的CA颁发新的证书利用X.509 V1证书绕过预期的限制。

解决建议

用户可参考如下供应商提供的安全公告获得补丁信息：
http://rhn.redhat.com/errata/RHSA-2014-0247.html

参考链接
http://article.gmane.org/gmane.comp.security.oss.general/12223
http://lists.opensuse.org/opensuse-security-announce/2014-03/msg00000.html
http://lists.opensuse.org/opensuse-security-announce/2014-03/msg00001.html
http://lists.opensuse.org/opensuse-security-announce/2014-03/msg00003.html
http://lists.opensuse.org/opensuse-security-announce/2014-03/msg00020.html
http://rhn.redhat.com/errata/RHSA-2014-0247.html
http://secunia.com/advisories/57254
http://secunia.com/advisories/57260
http://secunia.com/advisories/57274
http://secunia.com/advisories/57321
http://thread.gmane.org/gmane.comp.encryption.gpg.gnutls.devel/3351/focus=3361
http://thread.gmane.org/gmane.comp.security.oss.general/12127
https://bugzilla.redhat.com/show_bug.cgi?id=1069301
https://gitorious.org/gnutls/gnutls/commit/c8dcbedd1fdc312f5b1a70fcfbc1afe235d800cd

受影响软件情况

#	类型	厂商	产品	版本	影响面
1
	运行在以下环境
	应用	gnu	gnutls	*		Up to (including) 2.7.5
	运行在以下环境
	应用	gnu	gnutls	2.7.0	-
	运行在以下环境
	应用	gnu	gnutls	2.7.1	-
	运行在以下环境
	应用	gnu	gnutls	2.7.2	-
	运行在以下环境
	应用	gnu	gnutls	2.7.3	-
	运行在以下环境
	应用	gnu	gnutls	2.7.4	-
	运行在以下环境
	系统	centos_5	gnutls	*		Up to (excluding) 1.4.1-14.el5_10
	运行在以下环境
	系统	centos_5	gnutls-devel	*		Up to (excluding) 1.4.1-14.el5_10
	运行在以下环境
	系统	centos_5	gnutls-utils	*		Up to (excluding) 1.4.1-14.el5_10
	运行在以下环境
	系统	oracle_5	gnutls	*		Up to (excluding) 1.4.1-14.el5_10
	运行在以下环境
	系统	oracle_5	gnutls-devel	*		Up to (excluding) 1.4.1-14.el5_10
	运行在以下环境
	系统	oracle_5	gnutls-utils	*		Up to (excluding) 1.4.1-14.el5_10
查看完整数据

阿里云评分 6.3

• 攻击路径 远程
• 攻击复杂度 复杂
• 权限要求 无需权限
• 影响范围 全局影响
• EXP成熟度 未验证
• 补丁情况 官方补丁
• 数据保密性 数据泄露
• 数据完整性 传输被破坏
• 服务器危害 无影响
• 全网数量 N/A

CWE-ID 漏洞类型 CWE-264 权限、特权和访问控制