Eine kritische Sicherheitslücke in der Verschlüsselungs-Bibliothek GnuTLS könnte ein Angreifer dazu nutzen, Schadcode einzuschleusen und auf einem betroffenen GnuTLS-Client auszuführen. Darauf macht Sicherheitsfirma Codenomicon aufmerksam. Sie hat auch die Heartbleed-Schwachstelle aufgedeckt.
Wie Computerworld berichtet, liegt inzwischen auch ein Patch vor, der den Bug mit der offiziellen Kennung CVE-2014-3466 beseitigen soll. Er steht für GnuTLS 3.3.3, GnuTLS 3.2.15 und GnuTLS 3.1.25 zur Verfügung. Ein danach veröffentlichtes Update auf die Version GnuTLS 3.3.4 beseitigt einen nicht sicherheitsrelevanten Fehler, der die Hardwarebeschleunigung betrifft.
GnuTLS ist eine Open-Source-Implementierung der Protokolle Secure Socket Layer (SSL), Transport Layer Security (TLS) und Datagram Transport Layer Security (DTLS). Sie werden benutzt, um Kommunikation im Internet zu verschlüsseln. Auch wenn GnuTLS nicht so weit verbreitet ist wie OpenSSL, findet sich die Bibliothek in zahlreichen Linux-Distributionen, darunter Red Hat, Ubuntu und Debian. Laut Computerworld sind mehr als 200 Software-Pakete für Linux auf GnuTLS für SSL/TLS-Support angewiesen.
Einem Eintrag im Red Hat Bug Tracker zufolge kann die Schwachstelle durch den Versand einer sehr langen Session-ID während des SSL/TLS-Handshake ausgenutzt werden. Das kann zu einem Absturz des GnuTLS-Clients führen und unter Umständen auch eine Remotecodeausführung erlauben. Red Hat stuft den Fehler als sehr ernst ein.
Schon im März haben GnuTLS-Entwickler laut Computerworld eine weitere Anfälligkeit beseitigt. Sie hatte es einem Angreifer erlaubt, der Bibliothek manipulierte SSL-Zertifikate für Websites unterzuschieben.
Der Heartbleed-Bug in OpenSSL hatte im April zur Gründung der Core Infrastructure Initiative geführt. Sie will künftig internetweit gefährliche Lücken wie Heartbleed verhindern. Finanzielle Unterstützung erhält das Projekt von Amazon Web Services, Cisco, Dell, Facebook, Fujitsu, Google, IBM, Intel, Microsoft, NetApp, Rackspace und VMware.
Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Check Point warnt vor offener Schwachstelle, die derzeit von Hackern für Phishing ausgenutzt wird.
Video-Babyphones sind ebenfalls betroffen. Cyberkriminelle nehmen vermehrt IoT-Hardware ins Visier.
Der Downloader hat hierzulande im April einen Anteil von 18,58 Prozent. Im Bereich Ransomware ist…
Unternehmen greifen von überall aus auf die Cloud und Applikationen zu. Dementsprechend reicht das Burg-Prinzip…
Hacker nutzen eine jetzt gepatchte Schwachstelle im Google-Browser bereits aktiv aus. Die neue Chrome-Version stopft…
Microsoft bietet seit Anfang der Woche einen Patch für die Lücke. Kaspersky-Forscher gehen davon aus,…
