GnuTLS durch kritische Sicherheitslücke angreifbar

Inzwischen liegt ein Patch für die Schwachstelle vor. Ein Angreifer könnte mithilfe einer sehr langen Session-ID auf einen Absturz eines GnuTLS-Clients auslösen und dabei Schadcode einschleusen. Die Bibliothek ist Bestandteil zahlreicher Linux-Distributionen, darunter Red Hat, Ubuntu und Debian.

Eine kritische Sicherheitslücke in der Verschlüsselungs-Bibliothek GnuTLS könnte ein Angreifer dazu nutzen, Schadcode einzuschleusen und auf einem betroffenen GnuTLS-Client auszuführen. Darauf macht Sicherheitsfirma Codenomicon aufmerksam. Sie hat auch die Heartbleed-Schwachstelle aufgedeckt.

Verschlüsselung

Wie Computerworld berichtet, liegt inzwischen auch ein Patch vor, der den Bug mit der offiziellen Kennung CVE-2014-3466 beseitigen soll. Er steht für GnuTLS 3.3.3, GnuTLS 3.2.15 und GnuTLS 3.1.25 zur Verfügung. Ein danach veröffentlichtes Update auf die Version GnuTLS 3.3.4 beseitigt einen nicht sicherheitsrelevanten Fehler, der die Hardwarebeschleunigung betrifft.

GnuTLS ist eine Open-Source-Implementierung der Protokolle Secure Socket Layer (SSL), Transport Layer Security (TLS) und Datagram Transport Layer Security (DTLS). Sie werden benutzt, um Kommunikation im Internet zu verschlüsseln. Auch wenn GnuTLS nicht so weit verbreitet ist wie OpenSSL, findet sich die Bibliothek in zahlreichen Linux-Distributionen, darunter Red Hat, Ubuntu und Debian. Laut Computerworld sind mehr als 200 Software-Pakete für Linux auf GnuTLS für SSL/TLS-Support angewiesen.

Einem Eintrag im Red Hat Bug Tracker zufolge kann die Schwachstelle durch den Versand einer sehr langen Session-ID während des SSL/TLS-Handshake ausgenutzt werden. Das kann zu einem Absturz des GnuTLS-Clients führen und unter Umständen auch eine Remotecodeausführung erlauben. Red Hat stuft den Fehler als sehr ernst ein.

Schon im März haben GnuTLS-Entwickler laut Computerworld eine weitere Anfälligkeit beseitigt. Sie hatte es einem Angreifer erlaubt, der Bibliothek manipulierte SSL-Zertifikate für Websites unterzuschieben.

Der Heartbleed-Bug in OpenSSL hatte im April zur Gründung der Core Infrastructure Initiative geführt. Sie will künftig internetweit gefährliche Lücken wie Heartbleed verhindern. Finanzielle Unterstützung erhält das Projekt von Amazon Web Services, Cisco, Dell, Facebook, Fujitsu, Google, IBM, Intel, Microsoft, NetApp, Rackspace und VMware.

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Themenseiten: Linux, Secure-IT, Verschlüsselung

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu GnuTLS durch kritische Sicherheitslücke angreifbar

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *