CVE-2013-4466
https://notcve.org/view.php?id=CVE-2013-4466
Buffer overflow in the dane_query_tlsa function in the DANE library (libdane) in GnuTLS 3.1.x before 3.1.15 and 3.2.x before 3.2.5 allows remote servers to cause a denial of service (memory corruption) via a response with more than four DANE entries. Desbordamiento de búfer en la función dane_query_tlsa de la librería DANE (libdane) en GnuTLS 3.1.x anterior a la versión 3.1.15 y 3.2.x anterior a 3.2.5 permite en servidores remotos provocar una denegación de servicio (corrupción de memoria) a través de una respuesta que implique más de 4 entradas DANE. • http://article.gmane.org/gmane.comp.encryption.gpg.gnutls.devel/7049 http://article.gmane.org/gmane.comp.encryption.gpg.gnutls.devel/7050 http://www.gnutls.org/security.html#GNUTLS-SA-2013-3 http://www.openwall.com/lists/oss-security/2013/10/25/2 • CWE-119: Improper Restriction of Operations within the Bounds of a Memory Buffer •
CVE-2013-4487
https://notcve.org/view.php?id=CVE-2013-4487
Off-by-one error in the dane_raw_tlsa in the DANE library (libdane) in GnuTLS 3.1.x before 3.1.16 and 3.2.x before 3.2.6 allows remote servers to cause a denial of service (memory corruption) via a response with more than four DANE entries. NOTE: this issue is due to an incomplete fix for CVE-2013-4466. Error de superación de límite en dane_raw_tlsa en la librería DANE (libdane) de GnuTLS 3.1.x anterior a la versión 3.1.16 y 3.2.x anterior a 3.2.6 permite en servidores remotos provocar una denegación de servicio (corrupción de memoria) a través de una respuesta con más de 4 entradas DANE. NOTA: este problema se debe a una solución incompleta para CVE-2013-4466. • http://lists.opensuse.org/opensuse-updates/2013-11/msg00064.html http://www.openwall.com/lists/oss-security/2013/10/31/4 https://gitorious.org/gnutls/gnutls/commit/0dd5529509e46b11d5c0f3f26f99294e0e5fa6dc • CWE-189: Numeric Errors •
CVE-2009-2409 – deprecate MD2 in SSL cert validation (Kaminsky)
https://notcve.org/view.php?id=CVE-2009-2409
The Network Security Services (NSS) library before 3.12.3, as used in Firefox; GnuTLS before 2.6.4 and 2.7.4; OpenSSL 0.9.8 through 0.9.8k; and other products support MD2 with X.509 certificates, which might allow remote attackers to spoof certificates by using MD2 design flaws to generate a hash collision in less than brute-force time. NOTE: the scope of this issue is currently limited because the amount of computation required is still large. La librería Network Security Services (NSS) en versiones anteriores a 3.12.3, como se utiliza en Firefox; GnuTLS en versiones anteriores a 2.6.4 y 2.7.4; OpenSSL 0.9.8 hasta la versión 0.9.8k; y otros productos que soportan MD2 con certificados X.509, lo que podrían permitir a atacantes remotos falsificar certificados usando defectos de diseño de MD2 para generar una colisión de hash en menos que tiempo que con fuerza bruta. NOTA: el alcance de este problema está actualmente limitado porque la cantidad de computación requerida es todavía grande. • http://java.sun.com/j2se/1.5.0/ReleaseNotes.html http://java.sun.com/javase/6/webnotes/6u17.html http://lists.apple.com/archives/security-announce/2009/Nov/msg00000.html http://secunia.com/advisories/36139 http://secunia.com/advisories/36157 http://secunia.com/advisories/36434 http://secunia.com/advisories/36669 http://secunia.com/advisories/36739 http://secunia.com/advisories/37386 http://secunia.com/advisories/42467 http://security.gentoo.org/glsa/glsa-200911-02.x • CWE-310: Cryptographic Issues •