Eine kritische Sicherheitslücke in der Verschlüsselungs-Bibliothek GnuTLS könnte ein Angreifer dazu nutzen, Schadcode einzuschleusen und auf einem betroffenen GnuTLS-Client auszuführen. Darauf macht Sicherheitsfirma Codenomicon aufmerksam. Sie hat auch die Heartbleed-Schwachstelle aufgedeckt.
Wie Computerworld berichtet, liegt inzwischen auch ein Patch vor, der den Bug mit der offiziellen Kennung CVE-2014-3466 beseitigen soll. Er steht für GnuTLS 3.3.3, GnuTLS 3.2.15 und GnuTLS 3.1.25 zur Verfügung. Ein danach veröffentlichtes Update auf die Version GnuTLS 3.3.4 beseitigt einen nicht sicherheitsrelevanten Fehler, der die Hardwarebeschleunigung betrifft.
GnuTLS ist eine Open-Source-Implementierung der Protokolle Secure Socket Layer (SSL), Transport Layer Security (TLS) und Datagram Transport Layer Security (DTLS). Sie werden benutzt, um Kommunikation im Internet zu verschlüsseln. Auch wenn GnuTLS nicht so weit verbreitet ist wie OpenSSL, findet sich die Bibliothek in zahlreichen Linux-Distributionen, darunter Red Hat, Ubuntu und Debian. Laut Computerworld sind mehr als 200 Software-Pakete für Linux auf GnuTLS für SSL/TLS-Support angewiesen.
Einem Eintrag im Red Hat Bug Tracker zufolge kann die Schwachstelle durch den Versand einer sehr langen Session-ID während des SSL/TLS-Handshake ausgenutzt werden. Das kann zu einem Absturz des GnuTLS-Clients führen und unter Umständen auch eine Remotecodeausführung erlauben. Red Hat stuft den Fehler als sehr ernst ein.
Schon im März haben GnuTLS-Entwickler laut Computerworld eine weitere Anfälligkeit beseitigt. Sie hatte es einem Angreifer erlaubt, der Bibliothek manipulierte SSL-Zertifikate für Websites unterzuschieben.
Der Heartbleed-Bug in OpenSSL hatte im April zur Gründung der Core Infrastructure Initiative geführt. Sie will künftig internetweit gefährliche Lücken wie Heartbleed verhindern. Finanzielle Unterstützung erhält das Projekt von Amazon Web Services, Cisco, Dell, Facebook, Fujitsu, Google, IBM, Intel, Microsoft, NetApp, Rackspace und VMware.
Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Kryptodiebstahl und finanzieller Gewinn sind laut ESET-Forschungsbericht die vorrangigen neuen Ziele.
Schwachstellen aus der ThroughTek Kaylay-IoT-Plattform. Dringend Update-Status der IoT-Geräte prüfen.
Fast acht Milliarden Euro fließen in die deutsche Region der AWS European Sovereign Cloud. Das…
Im Rahmen der umfassenden Digitalisierung der Bundeswehr ersetzen Electronic Knee Boards die herkömmlichen Handbücher von…
Sie betreffen Windows 10, 11 und Windows Server. In SharePoint Server steckt zudem eine kritische…
Mozilla verteilt insgesamt 16 Patches für Firefox 125 und älter. Zudem entfernt der Browser nun…
