USN-8539-1: Исправление уязвимостей в GnuTLS
Описание уязвимостей
В библиотеке GnuTLS обнаружены несколько критических уязвимостей, которые могут быть использованы удалёнными злоумышленниками для обхода проверки сертификатов и выполнения произвольного кода.
CVE-2026-42011
Haruto Kimura обнаружил, что GnuTLS некорректно применяла разрешенные ограничения имён в некоторых путях проверки сертификатов. Это может позволить удалённому злоумышленнику обойти проверку сертификатов и провести атаку «человек посередине».
CVE-2026-42012
Oleh Konko обнаружил, что GnuTLS некорректно переходила к проверке Common Name для некоторых URI и SRV альтернативных имён субъекта. Это может позволить удалённому злоумышленнику обойти проверку сертификатов и провести атаку «человек посередине».
CVE-2026-42013
Haruto Kimura и Joshua Rogers обнаружили, что GnuTLS некорректно переходила к проверке Common Name при чрезмерно больших альтернативных именах субъекта. Это может позволить удалённому злоумышленнику обойти проверку сертификатов и провести атаку «человек посередине».
CVE-2026-42014
Luigino Camastra и Joshua Rogers обнаружили проблему использования уже освобождённой памяти при изменении PIN-кода владельца токена PKCS#11 в некоторых случаях. Это может позволить злоумышленнику вызвать сбой работы GnuTLS, что приведёт к отказу в обслуживании, или выполнить произвольный код.
CVE-2026-42015
Zou Dikai обнаружил, что GnuTLS некорректно проверяла размеры пакетов PKCS#12 в некоторых случаях. Это может позволить злоумышленнику вызвать сбой работы GnuTLS, что приведёт к отказу в обслуживании, или выполнить произвольный код.
Кто подвержен риску
Уязвимости затрагивают все системы, использующие библиотеку GnuTLS версии 3.8.1 и ниже. Это включает в себя серверы, работающие под управлением Ubuntu и других дистрибутивов Linux, а также клиентские приложения, использующие GnuTLS для шифрования.
Оценка риска
Риск обхода проверки сертификатов высокий, так как это может привести к атаке «человек посередине», что позволяет злоумышленнику перехватывать и изменять данные, передаваемые между клиентом и сервером. Риск выполнения произвольного кода также высокий, так как это может позволить злоумышленнику получить контроль над системой.
Рекомендации по устранению
Для исправления уязвимостей необходимо обновить пакет gnutls28 до версии 3.8.2 или выше. Это можно сделать с помощью стандартного обновления системы.
Проверка текущей версии GnuTLS
Прежде чем приступать к обновлению, рекомендуется проверить текущую версию установленной библиотеки GnuTLS. Для этого можно использовать следующую команду:
gnutls-cli --version
Если версия ниже 3.8.2, необходимо выполнить обновление.
Обновление пакета gnutls28
Для обновления пакета gnutls28 можно использовать стандартный менеджер пакетов apt:
sudo apt update && sudo apt upgrade gnutls28
Проверка успешности обновления
После выполнения обновления необходимо проверить, что версия библиотеки GnuTLS была успешно обновлена. Для этого можно снова использовать команду:
gnutls-cli --version
Если версия теперь 3.8.2 или выше, обновление прошло успешно.
Дополнительные меры безопасности
Помимо обновления библиотеки GnuTLS, рекомендуется также проверить конфигурацию серверов и клиентских приложений на предмет использования уязвимых версий. В частности, следует убедиться, что все сертификаты используются корректно и соответствуют требованиям безопасности.
Проверка конфигурации сертификатов
Для проверки конфигурации сертификатов можно использовать инструмент gnutls-cli. Например, для проверки SSL/TLS соединения с сервером можно использовать следующую команду:
gnutls-cli --verify-certificate --x509cafile=/etc/ssl/certs/ca-certificates.crt example.com
Эта команда проверит, что сертификат сервера соответствует цепочке доверия и не содержит ошибок.
Мониторинг системы
Рекомендуется также настроить мониторинг системы на предмет попытки использования уязвимостей. Это может включать в себя анализ логов сервера и клиентских приложений, а также использование специализированных инструментов для обнаружения аномалий.
Заключение
Исправление уязвимостей в библиотеке GnuTLS является критически важным шагом для обеспечения безопасности систем, использующих эту библиотеку. Рекомендуется как можно скорее выполнить обновление и проверить конфигурацию сертификатов.