Vulnérabilité dans GnuTLS (implémentation SSL et TLS)
Date de publication :
Une vulnérabilité a été découverte dans GnuTLS, une bibliothèque logicielle permettant l’implémentation des protocoles SSL et TLS. Elle pourrait permettre à un attaquant de provoquer une atteinte à la confidentialité des données et/ou un contournement d’authentification.
CVE-2020-13777 [Score CVSS v3 : 7.4] : Une vulnérabilité liée à un défaut de chiffrement a été découverte dans GnuTLS. Elle est due à une régression dans l’implémentation du protocole TLS, celle-ci amène le serveur TLS à créer des clés de chiffrement pour des tickets de sessions de manière non sécurisée. Un attaquant peut exploiter cette vulnérabilité afin d’effectuer une attaque d’homme du milieu pouvant conduire à une fuite de données voire à un contournement d’authentification.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Atteinte à la confidentialité des données
- Contournement d’authentification
Criticité
- Score CVSS v3 : 7.4
Existence d’un code d’exploitation
- Des explications pas à pas sont disponibles afin d’exploiter cette vulnérabilité
Composants vulnérables
- GnuTLS 3.6.x toutes versions avant la 3.6.14
CVE
- CVE-2020-13777
Solutions ou recommandations
Mise en place de correctifs de sécurité
Mettre à jour GnuTLS vers la version 3.6.14 ou supérieure
Solution de contournement
Aucune solution de contournement n’est disponible