阿里云漏洞库

漏洞描述

GnuTLS是一款免费的用于实现SSL、TLS和DTLS协议的安全通信库。 GnuTLS 3.6.14版本中存在安全漏洞。攻击者可通过实施中间人攻击利用该漏洞绕过TLS 1.3版本的身份验证并恢复TLS 1.2版本的先前会话。

解决建议

目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
https://www.gnutls.org/security-new.html#GNUTLS-SA-2020-06-03

参考链接
http://lists.opensuse.org/opensuse-security-announce/2020-06/msg00015.html
https://gnutls.org/security-new.html#GNUTLS-SA-2020-06-03
https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedora...
https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedora...
https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedora...
https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedora...
https://security.gentoo.org/glsa/202006-01
https://security.netapp.com/advisory/ntap-20200619-0004/
https://usn.ubuntu.com/4384-1/
https://www.debian.org/security/2020/dsa-4697

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	gnu	gnutls	*	From (including) 3.6.0	Up to (excluding) 3.6.14
	运行在以下环境
	系统	alpine_3.10	gnutls	*		Up to (excluding) 3.6.14-r0
	运行在以下环境
	系统	alpine_3.11	gnutls	*		Up to (excluding) 3.6.14-r0
	运行在以下环境
	系统	alpine_3.12	gnutls	*		Up to (excluding) 3.6.14-r0
	运行在以下环境
	系统	alpine_3.13	gnutls	*		Up to (excluding) 3.6.14-r0
	运行在以下环境
	系统	alpine_3.14	gnutls	*		Up to (excluding) 3.6.14-r0
	运行在以下环境
	系统	alpine_3.15	gnutls	*		Up to (excluding) 3.6.14-r0
	运行在以下环境
	系统	alpine_3.16	gnutls	*		Up to (excluding) 3.6.14-r0
	运行在以下环境
	系统	alpine_3.17	gnutls	*		Up to (excluding) 3.6.14-r0
	运行在以下环境
	系统	alpine_3.18	gnutls	*		Up to (excluding) 3.6.14-r0
	运行在以下环境
	系统	alpine_3.19	gnutls	*		Up to (excluding) 3.6.14-r0
	运行在以下环境
	系统	alpine_3.8	gnutls	*		Up to (excluding) 3.6.14-r0
	运行在以下环境
	系统	alpine_3.9	gnutls	*		Up to (excluding) 3.6.14-r0
	运行在以下环境
	系统	anolis_os_8	gnutls	*		Up to (excluding) 3.6.8-11.0.1
	运行在以下环境
	系统	debian_10	gnutls28	*		Up to (excluding) 3.6.7-4+deb10u4
	运行在以下环境
	系统	debian_11	gnutls28	*		Up to (excluding) 3.6.14-1
	运行在以下环境
	系统	debian_12	gnutls28	*		Up to (excluding) 3.6.14-1
	运行在以下环境
	系统	fedora_31	gnutls	*		Up to (excluding) 3.6.14-1.fc31
	运行在以下环境
	系统	fedora_32	gnutls	*		Up to (excluding) 3.6.14-1.fc32
	运行在以下环境
	系统	opensuse_Leap_15.1	gnutls	*		Up to (excluding) 3.6.7-lp151.2.18.1
	运行在以下环境
	系统	oracle_8	gnutls	*		Up to (excluding) 3.6.8-11.el8_2
	运行在以下环境
	系统	redhat_8	gnutls	*		Up to (excluding) 3.6.8-11.el8_2
	运行在以下环境
	系统	ubuntu_20.04	gnutls28	*		Up to (excluding) 3.6.13-2ubuntu1.1

攻击路径

远程
攻击复杂度

困难
权限要求

无需权限
影响范围

有限影响
EXP成熟度

POC 已公开
补丁情况

官方补丁
数据保密性

无影响
数据完整性

无影响
服务器危害

无影响
全网数量

100

CWE-ID	漏洞类型
CWE-327	使用已被攻破或存在风险的密码学算法

低危 GnuTLS加密问题漏洞

漏洞描述

解决建议

参考链接

受影响软件情况