Vulnérabilité dans GnuTLS
Date de publication :
Une vulnérabilité résultant d’une mauvaise implémentation cryptographique a été découverte dans le support de Datagram Transport Layer Security (DTLS) par GnuTLS. Un attaquant ayant connaissance de ce défaut peut mener une attaque cryptographique facilitée sur des échanges utilisant le protocole DTLS, pouvant ainsi potentiellement lire et modifier des messages.
CVE-2020-11501 [Score CVSS v3 : 7.4] : Une vulnérabilité résultant d’une mauvaise implémentation cryptographique a été découverte dans GnuTLS. Une valeur constante est en effet utilisée à la place d’un nombre devant être choisi aléatoirement, ce qui défait les garanties de sécurité proposées par ce protocole. Ce défaut simplifie d’éventuelles attaques cryptographiques contre DTLS, résultant en la possibilité pour un attaquant de lire ou modifier des messages échangés par un client utilisant cette implémentation.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Perte de confidentialité et d’intégrité des messages
Criticité
- Score CVSS v3 : 7.4
Existence d’un code d’exploitation
- Pas de code d’exploitation disponible publiquement pour l’instant
Composants vulnérables
- GnuTLS depuis la version 3.6.3 jusqu’à la version 3.6.13 non-incluse
CVE
- CVE-2020-11501
Solutions ou recommandations
Mise en place de correctifs de sécurité
Mettre à jour GnuTLS vers la version 3.6.13
Solution de contournement
Aucune solution de contournement n’est disponible