Abo
  • IT-Karriere:

GnuTLS: Fehlerhafte Zertifikate akzeptiert

In der Verschlüsselungsbibliothek GnuTLS ist ein Fehler gefunden worden, der dazu führen kann, dass bösartige, gefälschte Zertifikate akzeptiert werden. Ähnlich wie bei der kürzlich bei Apple entdeckten Lücke spielt ein "goto fail" eine Rolle.

Artikel veröffentlicht am , Hanno Böck
Auch bei GnuTLS heißt es: "goto fail".
Auch bei GnuTLS heißt es: "goto fail". (Bild: Screenshot Gitorious)

Die Entwickler der Verschlüsselungsbibliothek GnuTLS berichten über eine Sicherheitslücke, die dazu führen kann, dass gefälschte Zertifikate akzeptiert werden. Die Sicherheitslücke, die mit der ID CVE-2014-0092 bezeichnet wird, wurde bei einem Audit für die Linux-Distribution Red Hat entdeckt.

Stellenmarkt
  1. GK Software SE, Schöneck/Vogtland, Sankt Ingbert
  2. Bayerische Versorgungskammer, München

Ein Blick auf den geänderten Code erinnert an die als "goto fail" bekanntgewordene Sicherheitslücke, die kürzlich in Apple-Produkten entdeckt wurde. Der fehlerhafte C-Code von GnuTLS führt in bestimmten Situationen, wenn Prüfungen der Struktur des Zertifikats fehlschlagen, einen Befehl "goto cleanup" aus. Anschließend wird die Funktion beendet und es sieht für den weiteren Programmverlauf so aus, als sei das Zertifikat gültig. Ein Angreifer könnte ein Zertifikat erstellen, in dem an den entsprechenden Stellen Fehler sind. Ein solches bösartiges Zertifikat würde GnuTLS als gültig anerkennen. Korrekt wäre ein "goto fail", denn dann wird ein entsprechender Fehlercode gesetzt.

Die GnuTLS-Entwickler haben die Versionen 3.2.12 und 3.1.22 herausgegeben, in denen das Problem behoben ist. Für die ältere Version 2, die noch in manchen Linux-Distributionen zum Einsatz kommt, gibt es bislang kein Update, jedoch steht ein Patch hierfür bereit.

GnuTLS ist eine unter der LGPL stehende Bibliothek für TLS-Verbindungen und wird vor allem unter Linux genutzt. Verwendet wird GnuTLS überwiegend von kleineren Tools; Browser und Webserver setzen meist entweder auf OpenSSL oder NSS. Für Debian, Ubuntu und Red Hat steht bereits ein Update zur Verfügung.

Zu den Kommentaren springen
Meistgelesen
  1. Elektroauto von VW
    Es hat sich bald ausgegolft
  2. Arbeit im Amt
    Wichtig ist ein Talent zum Zeittotschlagen
  3. Jira, Trello, Asana, Zendesk
    Welches Teamarbeitstool taugt wofür?
  4. Leak
    NordVPN wurde gehackt
  5. Pixel 4 XL im Test
    Da geht noch mehr
Anzeige
Top-Angebote
  1. (u. a. Sandisk SSD Plus 1 TB für 88,00€, WD Elements 1,5-TB-HDD für 55,00€, Seagate Expansion...
  2. (u. a. Kingston A400 2-TB-SSD für 159,90€, AMD Upgrade-Bundle mit Radeon RX 590 + Ryzen 7...
  3. 43,99€ (Bestpreis!)
  4. (aktuell u. a. Asus Zenfone 5 Handy für 199,90€, Digitus DN-95330 Switch für 40,99€)
Kommentarübersicht
Weiss jmd welche Pakete genau betroffen sind?
pu_king81 06. Mär 2014

Also ich habe hier z.B.: - gnutls-bin - libgnutls* (viele verschiedene Pakete...

Re: Sieht so aus als bliebe OpenSource auch nicht...
violator 05. Mär 2014

Bei ClosedSource ist das aber relativ schwierig. Bei OpenSource ist das so als wenn du...

Re: So ein Fehler muss doch spätestens beim...
M.P. 05. Mär 2014

Wobei der Codeschnipsel aus dem Artikel schon sehr nach Fehlerbehandlung aussieht... OT...

Re: In der Theorie...
chrulri 04. Mär 2014

Jup :-)

Re: Spaghetticode
Granini 04. Mär 2014

OK, das mit dem nichtssagenden "fail" sehe ich doch nicht mehr so. Vermutlich ist das...

Folgen Sie uns
       
Golem-Akademie - Trainer Florian stellt sich vor

Vom Junior-Projektleiter zum IT-Director konnte Florian Schader sämtliche Facetten der IT-Welt gestalten und hat eine Leidenschaft entwickelt, diese Erfahrungen weiterzugeben. Seine Grundmotivation ist die aktive Weitergabe seiner 20-jährigen Projekt- und Leitungserfahrung im IT-Umfeld, der Erfolg von Projekten und die aktive Weiterentwicklung von Menschen. Dabei stellt er immer den Bezug zur Praxis her. Als Trainer und Coach ist er spezialisiert auf Projektmanagement und Führungskräfteentwicklung.

Golem-Akademie - Trainer Florian stellt sich vor Video aufrufen
Hacker
Cyberangriffe: Attribution ist wie ein Indizienprozess
Cyberangriffe
Attribution ist wie ein Indizienprozess

Russland hat den Bundestag gehackt! China wollte die Bayer AG ausspionieren! Bei großen Hackerangriffen ist oft der Fingerzeig auf den mutmaßlichen Täter nicht weit. Knallharte Beweise dafür gibt es selten, Hinweise sind aber kaum zu vermeiden.
Von Anna Biselli

  1. Double Dragon APT41 soll für Staat und eigenen Geldbeutel hacken
  2. Internet of Things Neue Angriffe der Hackergruppe Fancy Bear
  3. IT-Security Hoodie-Klischeebilder sollen durch Wettbewerb verschwinden
Smart Home
Funkstandards: Womit funkt das smarte Heim?
Funkstandards
Womit funkt das smarte Heim?

Ob Wohnung oder Haus: Smart soll es bitte sein. Und wenn das nicht von Anfang an klappt, soll die Nachrüstung zum Smart Home so wenig aufwendig wie möglich sein. Dafür kommen vor allem Funklösungen infrage, wir stellen die gebräuchlichsten vor.
Von Jan Rähm

  1. Local Home SDK Google bietet SDK für Smarthomesteuerung im lokalen Netzwerk
  2. GE Smarte Lampe mit 11- bis 13-stufigem Resetverfahren
  3. IoT Smart Homes ohne Internet, geht das? Ja!
Filmkritik
Gemini Man: Überflüssiges Klonexperiment
Gemini Man
Überflüssiges Klonexperiment

Am 3. Oktober kommt mit Gemini Man ein ambitioniertes Projekt in die deutschen Kinos: Mit HFR-Projektion in 60 Bildern pro Sekunde und Will Smith, der gegen sein digital verjüngtes Ebenbild kämpft, betreibt der Actionfilm technisch viel Aufwand. Das Seherlebnis ist jedoch bestenfalls komisch.
Von Daniel Pook

  1. Filmkritik Apollo 11 Echte Mondlandung als packende Kinozeitreise
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /