• IT-Karriere:
  • Services:

GnuTLS: Fehlerhafte Zertifikate akzeptiert

In der Verschlüsselungsbibliothek GnuTLS ist ein Fehler gefunden worden, der dazu führen kann, dass bösartige, gefälschte Zertifikate akzeptiert werden. Ähnlich wie bei der kürzlich bei Apple entdeckten Lücke spielt ein "goto fail" eine Rolle.

Artikel veröffentlicht am , Hanno Böck
Auch bei GnuTLS heißt es: "goto fail".
Auch bei GnuTLS heißt es: "goto fail". (Bild: Screenshot Gitorious)

Die Entwickler der Verschlüsselungsbibliothek GnuTLS berichten über eine Sicherheitslücke, die dazu führen kann, dass gefälschte Zertifikate akzeptiert werden. Die Sicherheitslücke, die mit der ID CVE-2014-0092 bezeichnet wird, wurde bei einem Audit für die Linux-Distribution Red Hat entdeckt.

Stellenmarkt
  1. ENERCON GmbH, verschiedene Einsatzorte
  2. über duerenhoff GmbH, Raum Karlsruhe

Ein Blick auf den geänderten Code erinnert an die als "goto fail" bekanntgewordene Sicherheitslücke, die kürzlich in Apple-Produkten entdeckt wurde. Der fehlerhafte C-Code von GnuTLS führt in bestimmten Situationen, wenn Prüfungen der Struktur des Zertifikats fehlschlagen, einen Befehl "goto cleanup" aus. Anschließend wird die Funktion beendet und es sieht für den weiteren Programmverlauf so aus, als sei das Zertifikat gültig. Ein Angreifer könnte ein Zertifikat erstellen, in dem an den entsprechenden Stellen Fehler sind. Ein solches bösartiges Zertifikat würde GnuTLS als gültig anerkennen. Korrekt wäre ein "goto fail", denn dann wird ein entsprechender Fehlercode gesetzt.

Die GnuTLS-Entwickler haben die Versionen 3.2.12 und 3.1.22 herausgegeben, in denen das Problem behoben ist. Für die ältere Version 2, die noch in manchen Linux-Distributionen zum Einsatz kommt, gibt es bislang kein Update, jedoch steht ein Patch hierfür bereit.

GnuTLS ist eine unter der LGPL stehende Bibliothek für TLS-Verbindungen und wird vor allem unter Linux genutzt. Verwendet wird GnuTLS überwiegend von kleineren Tools; Browser und Webserver setzen meist entweder auf OpenSSL oder NSS. Für Debian, Ubuntu und Red Hat steht bereits ein Update zur Verfügung.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Reklame: Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon
Zu den Kommentaren springen
Meistgelesen
  1. Prime Video Live
    Amazon will lineares Fernsehen ausstrahlen
  2. Cyberpunk 2077
    CD Projekt Red könnte zum Übernahmekandidaten werden
  3. Whatsapp
    Überfällige Datenschutzabstimmung mit den Füßen
  4. DSGVO-Verstoß
    Kelber akzeptiert stark reduziertes Bußgeld für 1&1
  5. Akoya E11202
    Aldi bringt Schüler-Notebook für 200 Euro
Anzeige
Top-Angebote
  1. (u. a. Gigabyte GeForce RTX 3070 Gaming OC für 819€, EVGA GeForce RTX 3080 FTW3 ULTRA GAMING...
  2. (u. a. Crusader Kings 3 für 22,99€, Cyberpunk 2077 für 33,99€)
  3. (u. a. LG OLED65CX9LA für 1.999€, Panasonic TX-50HXW584 für 449€)
  4. 72,90€ (Bestpreis)
Kommentarübersicht
Weiss jmd welche Pakete genau betroffen sind?
pu_king81 06. Mär 2014

Also ich habe hier z.B.: - gnutls-bin - libgnutls* (viele verschiedene Pakete...

Re: Sieht so aus als bliebe OpenSource auch nicht...
violator 05. Mär 2014

Bei ClosedSource ist das aber relativ schwierig. Bei OpenSource ist das so als wenn du...

Re: So ein Fehler muss doch spätestens beim...
M.P. 05. Mär 2014

Wobei der Codeschnipsel aus dem Artikel schon sehr nach Fehlerbehandlung aussieht... OT...

Re: In der Theorie...
chrulri 04. Mär 2014

Jup :-)

Re: Spaghetticode
Granini 04. Mär 2014

OK, das mit dem nichtssagenden "fail" sehe ich doch nicht mehr so. Vermutlich ist das...

Folgen Sie uns
       
Samsung Galaxy S21 Ultra vorgestellt

Das Galaxy S21 Ultra ist das Topmodell von Samsungs neuer S21-Reihe und unterscheidet sich deutlich von den beiden anderen Modellen.

Samsung Galaxy S21 Ultra vorgestellt Video aufrufen
Boeing
Boeing 737 Max: Neustart mit Hindernissen
Boeing 737 Max
Neustart mit Hindernissen

Die Boeing 737 ist nach dem Flugzeugabsturz in Indonesien wieder in den Schlagzeilen. Die Version Max darf seit Dezember wieder fliegen - doch Kritiker halten die Verbesserungen für unzureichend.
Ein Bericht von Friedrich List

  1. Flugzeug Boeing erhält den letzten Auftrag für den Bau der 747
  2. Boeing 737 Max Boeing-Strafverfahren gegen hohe Geldstrafe eingestellt
  3. Zunum Luftfahrt-Startup verklagt Boeing
Star Wars
Star Wars und Star Trek: Was The Mandalorian besser macht als Discovery
Star Wars und Star Trek
Was The Mandalorian besser macht als Discovery

Unabhängig von der Story und davon, ob man Star Trek oder Star Wars lieber mag - nach den jüngsten Staffeln wird deutlich: Discovery kann handwerklich nicht mit The Mandalorian mithalten. Achtung, Spoiler!
Ein IMHO von Tobias Költzsch

  1. Lucasfilm Games Ubisoft entwickelt Open World mit Star Wars
  2. Krieg der Sterne Star Wars spielt unter dem Logo von Lucasfilm Games
  3. Star Wars chronologisch Über 150 Stunden Krieg der Sterne
Wikipedia
20 Jahre Wikipedia: Verlässliches Wissen rettet noch nicht die Welt
20 Jahre Wikipedia
Verlässliches Wissen rettet noch nicht die Welt

Noch nie war es so einfach, per Wikipedia an enzyklopädisches Wissen zu gelangen. Doch scheint es viele Menschen gar nicht mehr zu interessieren.
Ein IMHO von Friedhelm Greis

  1. Desktop-Version Wikipedia überarbeitet "klobiges" Design
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /