9VSA20-00224-01 CSIRT comparte actualizaciones liberadas por OpenConnect

CSIRT comparte la información obtenida de OpenConnect referente a vulnerabilidad que afecta a su servicio VPN

Resumen

El Equipo de Respuesta ante Incidentes de Seguridad Informática, CSIRT, comparte la información obtenida de OpenConnect referente a vulnerabilidad que afecta a su servicio VPN. El presente informe incluye la respectiva medida de mitigación.

Vulnerabilidad

CVE-2020-12823

Debido a un error en memoria con la función “get_cert_name()” en “gnutls.c”, es posible para un atacante enviar datos de certificado especialmente diseñado para causar una denegación de servicios a una víctima conectada a su servicio, o hasta la ejecución de código arbitrario en el sistema de la víctima.

Productos Afectados

OpenConnect VPN desde la versión 3.99 hasta la 8.09.

Mitigación

Aplicar parche entregado por desarrolladores.

Enlaces

https://gitlab.com/openconnect/openconnect/-/merge_requests/108

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-12823

Informe

El informe oficial publicado por el CSIRT del Gobierno de Chile está disponible en el siguiente enlace: 9VSA20-00224-01

9VSA20-00224-01 CSIRT comparte actualizaciones liberadas por OpenConnect

CSIRT comparte la información obtenida de OpenConnect referente a vulnerabilidad que afecta a su servicio VPN

Documentos Relacionados