Een kritiek beveiligingslek, CVE-2025-32990, is ontdekt in de GnuTLS-software. Deze kwetsbaarheid betreft een heap-buffer-overflow (off-by-one) fout in de template parsing logica binnen het certtool hulpprogramma. Dit kan een aanvaller in staat stellen om een out-of-bounds NULL pointer te schrijven, wat leidt tot geheugenbeschadiging en een denial-of-service (DoS)-situatie die het systeem kan laten crashen.
Deze kwetsbaarheid is met name relevant voor gebruikers van Red Hat Enterprise Linux versies 8, 9, 10 en OpenShift Container Platform 4, maar ook op andere versies zou de impact onbekend kunnen zijn. Het probleem heeft een CVSS-score van 6.5 (Medium), waarbij de aanvaller via een netwerk de kwetsbaarheid kan uitbuiten zonder dat daarvoor rechten of gebruikersinteractie nodig zijn.
Aanbevelingen
- Controleer of uw systemen draaien op de getroffen versies van de GnuTLS-software voor Red Hat. Update waar mogelijk naar de nieuwste versies of pas aanbevolen mitigatiemechanismen toe zodra deze beschikbaar zijn.
- Overweeg alternatieve beschermingsmaatregelen als tijdelijke oplossing, aangezien er momenteel geen specifieke mitigatie beschikbaar is voor deze kwetsbaarheid.
Bronnen
Vraag en Antwoord
Wat is CVE-2025-32990?
CVE-2025-32990 is een kwetsbaarheid in het GnuTLS certtool door een off-by-one fout waardoor geheugen kan worden beschadigd.
Welke systemen zijn kwetsbaar voor CVE-2025-32990?
Red Hat Enterprise Linux versies 10, 8 en 9, evenals OpenShift Container Platform 4 zijn door deze kwetsbaarheid getroffen. Andere versies kunnen ook kwetsbaar zijn.
Bestaat er al een patch of beveiligingsupdate?
Er is momenteel geen specifieke mitigatie of patch beschikbaar. Het is belangrijk om systemen in de gaten te houden voor toekomstige updates.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan deze kwetsbaarheid misbruiken om een DoS-aanval uit te voeren, waardoor het systeem kan crashen.
