Eine kritische Sicherheitslücke in der Verschlüsselungs-Bibliothek GnuTLS könnte ein Angreifer dazu nutzen, Schadcode einzuschleusen und auf einem betroffenen GnuTLS-Client auszuführen. Darauf macht Sicherheitsfirma Codenomicon aufmerksam. Sie hat auch die Heartbleed-Schwachstelle aufgedeckt.
Wie Computerworld berichtet, liegt inzwischen auch ein Patch vor, der den Bug mit der offiziellen Kennung CVE-2014-3466 beseitigen soll. Er steht für GnuTLS 3.3.3, GnuTLS 3.2.15 und GnuTLS 3.1.25 zur Verfügung. Ein danach veröffentlichtes Update auf die Version GnuTLS 3.3.4 beseitigt einen nicht sicherheitsrelevanten Fehler, der die Hardwarebeschleunigung betrifft.
GnuTLS ist eine Open-Source-Implementierung der Protokolle Secure Socket Layer (SSL), Transport Layer Security (TLS) und Datagram Transport Layer Security (DTLS). Sie werden benutzt, um Kommunikation im Internet zu verschlüsseln. Auch wenn GnuTLS nicht so weit verbreitet ist wie OpenSSL, findet sich die Bibliothek in zahlreichen Linux-Distributionen, darunter Red Hat, Ubuntu und Debian. Laut Computerworld sind mehr als 200 Software-Pakete für Linux auf GnuTLS für SSL/TLS-Support angewiesen.
Einem Eintrag im Red Hat Bug Tracker zufolge kann die Schwachstelle durch den Versand einer sehr langen Session-ID während des SSL/TLS-Handshake ausgenutzt werden. Das kann zu einem Absturz des GnuTLS-Clients führen und unter Umständen auch eine Remotecodeausführung erlauben. Red Hat stuft den Fehler als sehr ernst ein.
Schon im März haben GnuTLS-Entwickler laut Computerworld eine weitere Anfälligkeit beseitigt. Sie hatte es einem Angreifer erlaubt, der Bibliothek manipulierte SSL-Zertifikate für Websites unterzuschieben.
Der Heartbleed-Bug in OpenSSL hatte im April zur Gründung der Core Infrastructure Initiative geführt. Sie will künftig internetweit gefährliche Lücken wie Heartbleed verhindern. Finanzielle Unterstützung erhält das Projekt von Amazon Web Services, Cisco, Dell, Facebook, Fujitsu, Google, IBM, Intel, Microsoft, NetApp, Rackspace und VMware.
Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…
