漏洞标题
N/A
漏洞描述信息
在GnuTLS 3.4.15 和 3.5.x 之前版本中的lib/x509/ocsp.c中的gnutls_ocsp_resp_check_crt函数,在验证OCSP响应的序列长度时未进行验证,这可能导致远程攻击者通过涉及gnutls_malloc返回的尾字节的向量绕过预期证书验证机制。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
The gnutls_ocsp_resp_check_crt function in lib/x509/ocsp.c in GnuTLS before 3.4.15 and 3.5.x before 3.5.4 does not verify the serial length of an OCSP response, which might allow remote attackers to bypass an intended certificate validation mechanism via vectors involving trailing bytes left by gnutls_malloc.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
GnuTLS 安全漏洞
漏洞描述信息
GnuTLS是比利时Nikos Mavrogiannopoulos和瑞典Simon Josefsson软件开发者共同研发的一个免费的用于实现SSL、TLS和DTLS协议的安全通信库。 GnuTLS 3.4.15之前的版本和3.5.4之前的3.5.x版本中的lib/x509/ocsp.c文件中的‘gnutls_ocsp_resp_check_crt’函数存在安全漏洞,该漏洞源于程序没有验证OCSP响应的序列长度。远程攻击者可借助gnutls_malloc遗留的尾部字节利用该漏洞绕过既定的证书验证机制。
CVSS信息
N/A
漏洞类别
授权问题