Eine kritische Sicherheitslücke in der Verschlüsselungs-Bibliothek GnuTLS könnte ein Angreifer dazu nutzen, Schadcode einzuschleusen und auf einem betroffenen GnuTLS-Client auszuführen. Darauf macht Sicherheitsfirma Codenomicon aufmerksam. Sie hat auch die Heartbleed-Schwachstelle aufgedeckt.
Wie Computerworld berichtet, liegt inzwischen auch ein Patch vor, der den Bug mit der offiziellen Kennung CVE-2014-3466 beseitigen soll. Er steht für GnuTLS 3.3.3, GnuTLS 3.2.15 und GnuTLS 3.1.25 zur Verfügung. Ein danach veröffentlichtes Update auf die Version GnuTLS 3.3.4 beseitigt einen nicht sicherheitsrelevanten Fehler, der die Hardwarebeschleunigung betrifft.
GnuTLS ist eine Open-Source-Implementierung der Protokolle Secure Socket Layer (SSL), Transport Layer Security (TLS) und Datagram Transport Layer Security (DTLS). Sie werden benutzt, um Kommunikation im Internet zu verschlüsseln. Auch wenn GnuTLS nicht so weit verbreitet ist wie OpenSSL, findet sich die Bibliothek in zahlreichen Linux-Distributionen, darunter Red Hat, Ubuntu und Debian. Laut Computerworld sind mehr als 200 Software-Pakete für Linux auf GnuTLS für SSL/TLS-Support angewiesen.
Einem Eintrag im Red Hat Bug Tracker zufolge kann die Schwachstelle durch den Versand einer sehr langen Session-ID während des SSL/TLS-Handshake ausgenutzt werden. Das kann zu einem Absturz des GnuTLS-Clients führen und unter Umständen auch eine Remotecodeausführung erlauben. Red Hat stuft den Fehler als sehr ernst ein.
Schon im März haben GnuTLS-Entwickler laut Computerworld eine weitere Anfälligkeit beseitigt. Sie hatte es einem Angreifer erlaubt, der Bibliothek manipulierte SSL-Zertifikate für Websites unterzuschieben.
Der Heartbleed-Bug in OpenSSL hatte im April zur Gründung der Core Infrastructure Initiative geführt. Sie will künftig internetweit gefährliche Lücken wie Heartbleed verhindern. Finanzielle Unterstützung erhält das Projekt von Amazon Web Services, Cisco, Dell, Facebook, Fujitsu, Google, IBM, Intel, Microsoft, NetApp, Rackspace und VMware.
Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Neueste Kommentare
Noch keine Kommentare zu GnuTLS durch kritische Sicherheitslücke angreifbar
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.