OpenSSL替代加密库GnuTLS发现了一个缓冲溢出漏洞,可被利用执行任意代码。漏洞出在ServerHello信息中会话ID的长度检查不正确。一个恶意配置的服务器在与设备建立HTTPS加密连接时,可通过发送超过会话ID值长度的畸形数据触发缓冲溢出。如果设备使用的GnuTLS版本没有打上补丁,设备能被攻击者远程劫持。GnuTLS被许多流行Linux发行版和软件所使用,开发者已在上月底发布了新版3.1.25、3.2.15和3.3.4,修复漏洞,多数发行版应该已经打上了补丁。

官网: www.gnutls.org