• IT-Karriere:
  • Services:

GnuTLS: Fehlerhafte Zertifikate akzeptiert

In der Verschlüsselungsbibliothek GnuTLS ist ein Fehler gefunden worden, der dazu führen kann, dass bösartige, gefälschte Zertifikate akzeptiert werden. Ähnlich wie bei der kürzlich bei Apple entdeckten Lücke spielt ein "goto fail" eine Rolle.

Artikel veröffentlicht am , Hanno Böck
Auch bei GnuTLS heißt es: "goto fail".
Auch bei GnuTLS heißt es: "goto fail". (Bild: Screenshot Gitorious)

Die Entwickler der Verschlüsselungsbibliothek GnuTLS berichten über eine Sicherheitslücke, die dazu führen kann, dass gefälschte Zertifikate akzeptiert werden. Die Sicherheitslücke, die mit der ID CVE-2014-0092 bezeichnet wird, wurde bei einem Audit für die Linux-Distribution Red Hat entdeckt.

Stellenmarkt
  1. BNP Paribas Real Estate Investment Management Germany GmbH, München
  2. Schaeffler Technologies AG & Co. KG, Herzogenaurach

Ein Blick auf den geänderten Code erinnert an die als "goto fail" bekanntgewordene Sicherheitslücke, die kürzlich in Apple-Produkten entdeckt wurde. Der fehlerhafte C-Code von GnuTLS führt in bestimmten Situationen, wenn Prüfungen der Struktur des Zertifikats fehlschlagen, einen Befehl "goto cleanup" aus. Anschließend wird die Funktion beendet und es sieht für den weiteren Programmverlauf so aus, als sei das Zertifikat gültig. Ein Angreifer könnte ein Zertifikat erstellen, in dem an den entsprechenden Stellen Fehler sind. Ein solches bösartiges Zertifikat würde GnuTLS als gültig anerkennen. Korrekt wäre ein "goto fail", denn dann wird ein entsprechender Fehlercode gesetzt.

Die GnuTLS-Entwickler haben die Versionen 3.2.12 und 3.1.22 herausgegeben, in denen das Problem behoben ist. Für die ältere Version 2, die noch in manchen Linux-Distributionen zum Einsatz kommt, gibt es bislang kein Update, jedoch steht ein Patch hierfür bereit.

GnuTLS ist eine unter der LGPL stehende Bibliothek für TLS-Verbindungen und wird vor allem unter Linux genutzt. Verwendet wird GnuTLS überwiegend von kleineren Tools; Browser und Webserver setzen meist entweder auf OpenSSL oder NSS. Für Debian, Ubuntu und Red Hat steht bereits ein Update zur Verfügung.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Reklame: Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon
Zu den Kommentaren springen
Meistgelesen
  1. The Last of Us 2 angespielt
    Allein auf der Interstate 5
  2. Spiele
    Star Citizen nähert sich 300-Millionen-Dollar-Budget
  3. Open Source
    Python-Script generiert zufällige Raumschiffe in Blender
  4. AMD
    MSI baut leichtes Notebook mit AMD Ryzen
  5. Bastelrechner
    Mini-PC stopft Ryzen-CPU in 13 x 13 Zentimeter
Anzeige
Spiele-Angebote
  1. (-30%) 41,99€
  2. 31,49€
  3. 7,99€
  4. (-57%) 12,99€
Kommentarübersicht
Weiss jmd welche Pakete genau betroffen sind?
pu_king81 06. Mär 2014

Also ich habe hier z.B.: - gnutls-bin - libgnutls* (viele verschiedene Pakete...

Re: Sieht so aus als bliebe OpenSource auch nicht...
violator 05. Mär 2014

Bei ClosedSource ist das aber relativ schwierig. Bei OpenSource ist das so als wenn du...

Re: So ein Fehler muss doch spätestens beim...
M.P. 05. Mär 2014

Wobei der Codeschnipsel aus dem Artikel schon sehr nach Fehlerbehandlung aussieht... OT...

Re: In der Theorie...
chrulri 04. Mär 2014

Jup :-)

Re: Spaghetticode
Granini 04. Mär 2014

OK, das mit dem nichtssagenden "fail" sehe ich doch nicht mehr so. Vermutlich ist das...

Folgen Sie uns
       
Samsung Galaxy S20 Ultra - Test

Das Galaxy S20 Ultra ist Samsungs Topmodell der Galaxy-S20-Reihe. Der südkoreanische Hersteller verbaut erstmals seinen 108-Megapixel-Kamerasensor - im Test haben wir uns aber mehr davon versprochen.

Samsung Galaxy S20 Ultra - Test Video aufrufen
Java
Java: Nicht die Bohne veraltet
Java
Nicht die Bohne veraltet

Vor einem Vierteljahrhundert kam das erste Java Development Kit heraus. Relevant ist die Programmiersprache aber heute noch.
Von Boris Mayer

  1. JDK Oracle will "Schmerzen" von Java beheben
  2. JDK Java 14 experimentiert mit eigenem Paketwerkzeug
  3. Eclipse Foundation Java-EE-Nachfolger Jakarta EE 9 soll Mitte 2020 erscheinen
Minecraft
Minecraft Dungeons im Test: Diablo im Quadrat
Minecraft Dungeons im Test
Diablo im Quadrat

Minecraft Dungeons sieht aus wie ein Re-Skin von Diablo, ist viel einfacher aufgebaut - und fesselt uns trotzdem an den Bildschirm.
Ein Test von Peter Steinlechner

  1. Mojang Studios Mehr als 200 Millionen Einheiten von Minecraft verkauft
  2. Minecraft RTX im Test Klötzchen klotzen mit Pathtracing
  3. Raytracing Beta von Minecraft RTX startet am 16. April
Renault
Renault, Nissan, Mitsubishi: Die Krisen-Allianz
Renault, Nissan, Mitsubishi
Die Krisen-Allianz

Mit neuen Konzepten wollen Renault, Nissan und Mitsubishi ihre Allianz retten.
Eine Analyse von Dirk Kunde

  1. Morphoz Renault stellt verlängerbares Elektroauto vor
  2. Renault Elektro-Twingo soll 2020 erscheinen
  3. K-ZE Elektro-Dacia soll 15.000 Euro kosten
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /