Linux-Werkzeug GnuTLS weist „Goto Fail“ ähnliche Lücke auf

Eine Sicherheitsüberprüfung durch Red Hat hat ergeben, dass alle Versionen des verbreiteten Linux-Werkzeugs GnuTLS eine Schwäche bei der Kontrolle von Sicherheitszertifikaten aufweisen. Die Nachricht kommt nur eine Woche, nachdem Apple eine ähnliche Schwachstelle in iOS und (drei Tage später) auch in OS X behoben hat.

Laut der GnuTLS-Website behandelt das GNU-Tool „bestimmte Fehler“ falsch, die bei der Verifizierung von SSL-Zertifikaten auftreten können. Statt einem Abbruch der Verifizierung meldet die Software dann eine erfolgreiche Überprüfung. So können spezielle Zertifikate eine sichere Verbindung vorspiegeln, ohne dass sie wirklich aus einer vertrauenswürdigen Quelle stammen.

Um die Lücke zu schließen, muss die Bibliothek auf eine der neusten Versionen – 3.2.12 oder 3.1.22 – gebracht werden. Für GnuTLS 2.12.x liegt außerdem ein Patch vor.

Als „Goto fail“-Lücke wurde Apples Schwachstelle bekannt, weil der Programmcode einen relativ simplen, aber schwerwiegenden Fehler aufwies. Die Sprunganweisung „Goto fail“ wurde an einer Stelle versehentlich doppelt eingefügt – und damit die vorgesehene Überprüfung der digitalen Signatur verhindert. Das ermöglichte Man-in-the-Middle-Angriffe mit weitreichenden Folgen, wie Sicherheitsforscher Aldo Cortesi mit dem modifizierten Tool Mitmproxy demonstrierte: „Fast jeder verschlüsselte Traffic ließ sich abfangen – einschließlich Benutzernamen, Passwörtern und selbst Apples App-Updates.“

Auch in Linux ist es ein falsch gesetzter Sprungbefehl, der das Problem verursacht. Wie bei Apples „Goto Fail“-Lücke ist also ein Man-in-the-Middle-Angriff realisierbar, und vermeintlich sichere Kommunikation kann abgehört werden. Cortesi sagte dazu: „Ich halte es für gut möglich, dass ich nicht der Erste war, daher sollten wir sicherheitshalber annehmen, dass die Lücke bereits aktiv ausgenützt wird. Außerdem ist natürlich auch wahrscheinlich, dass die Nachrichtendienste schon länger an der Sache dran sind.“

[mit Material von Chris Duckett, ZDNet.com]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Florian Kalenda

Seit dem Palm Vx mit Klapp-Tastatur war Florian mit keinem elektronischen Gerät mehr vollkommen zufrieden. Er nutzt derzeit privat Android, Blackberry, iOS, Ubuntu und Windows 7. Die Themen Internetpolitik und China interessieren ihn besonders.

Recent Posts

Black Friday: Vorsicht vor schädlichen QR-Codes

Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.

17 Stunden ago

Black Friday: Zahl der ominösen Shopping-Websites steigt

Unsichere Websites und Phishing-Mails in Verbindung mit Black Friday können kauffreudigen Konsumenten zum Verhängnis werden.

17 Stunden ago

SmokeBuster bekämpft SmokeLoader

Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.

1 Tag ago

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

2 Tagen ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

2 Tagen ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

2 Tagen ago