Vulnerabilidad en GnuTLS (CVE-2024-0553)
Gravedad CVSS v3.1:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
16/01/2024
Última modificación:
16/09/2024
Descripción
Se encontró una vulnerabilidad en GnuTLS. Los tiempos de respuesta a textos cifrados con formato incorrecto en RSA-PSK ClientKeyExchange difieren de los tiempos de respuesta de textos cifrados con el relleno PKCS#1 v1.5 correcto. Este problema puede permitir que un atacante remoto realice un ataque de canal lateral de sincronización en el intercambio de claves RSA-PSK, lo que podría provocar la fuga de datos confidenciales. CVE-2024-0553 está designado como una resolución incompleta para CVE-2023-5981.
Impacto
Puntuación base 3.x
7.50
Gravedad 3.x
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:gnu:gnutls:*:*:*:*:*:*:*:* | 3.8.3 (excluyendo) | |
| cpe:2.3:o:fedoraproject:fedora:39:*:*:*:*:*:*:* | ||
| cpe:2.3:o:redhat:enterprise_linux:8.0:*:*:*:*:*:*:* | ||
| cpe:2.3:o:redhat:enterprise_linux:9.0:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://access.redhat.com/errata/RHSA-2024:0533
- https://access.redhat.com/errata/RHSA-2024:0627
- https://access.redhat.com/errata/RHSA-2024:0796
- https://access.redhat.com/errata/RHSA-2024:1082
- https://access.redhat.com/errata/RHSA-2024:1108
- https://access.redhat.com/errata/RHSA-2024:1383
- https://access.redhat.com/errata/RHSA-2024:2094
- https://access.redhat.com/security/cve/CVE-2024-0553
- https://bugzilla.redhat.com/show_bug.cgi?id=2258412
- https://gitlab.com/gnutls/gnutls/-/issues/1522
- https://lists.gnupg.org/pipermail/gnutls-help/2024-January/004841.html