Inicio / Alerta Temprana / Avisos Seguridad / Vulnerabilidad de evasión de autenticación en GnuTLS

Vulnerabilidad de evasión de autenticación en GnuTLS

Fecha de publicación: 
04/06/2020
Importancia: 
4 - Alta
Recursos afectados: 

GnuTLS, versión 3.6.4.

Descripción: 

Se ha publicado una vulnerabilidad en el servidor TLS de GnuTLS que podría permitir a un atacante eludir la autenticación en TLS 1.3 y recuperar las conversaciones anteriores en TLS 1.2.

Solución: 

Actualizar a la versión 3.6.14 o posteriores.

Detalle: 

Los servidores de GnuTLS son capaces de utilizar los tickets emitidos por cada uno de ellos sin tener acceso a la clave secreta generada por gnutls_session_ticket_key_generate(). Esto podría permitir a un atacante MITM, sin credenciales válidas, reanudar las sesiones con un cliente que haya establecido previamente una conexión con un servidor con credenciales válidas. Se ha reservado el identificador CVE-2020-13777 para esta vulnerabilidad.

Encuesta valoración