Abo
  • Services:
Anzeige
Auch bei GnuTLS heißt es: "goto fail".
Auch bei GnuTLS heißt es: "goto fail". (Bild: Screenshot Gitorious)

GnuTLS: Fehlerhafte Zertifikate akzeptiert

In der Verschlüsselungsbibliothek GnuTLS ist ein Fehler gefunden worden, der dazu führen kann, dass bösartige, gefälschte Zertifikate akzeptiert werden. Ähnlich wie bei der kürzlich bei Apple entdeckten Lücke spielt ein "goto fail" eine Rolle.

Anzeige

Die Entwickler der Verschlüsselungsbibliothek GnuTLS berichten über eine Sicherheitslücke, die dazu führen kann, dass gefälschte Zertifikate akzeptiert werden. Die Sicherheitslücke, die mit der ID CVE-2014-0092 bezeichnet wird, wurde bei einem Audit für die Linux-Distribution Red Hat entdeckt.

Ein Blick auf den geänderten Code erinnert an die als "goto fail" bekanntgewordene Sicherheitslücke, die kürzlich in Apple-Produkten entdeckt wurde. Der fehlerhafte C-Code von GnuTLS führt in bestimmten Situationen, wenn Prüfungen der Struktur des Zertifikats fehlschlagen, einen Befehl "goto cleanup" aus. Anschließend wird die Funktion beendet und es sieht für den weiteren Programmverlauf so aus, als sei das Zertifikat gültig. Ein Angreifer könnte ein Zertifikat erstellen, in dem an den entsprechenden Stellen Fehler sind. Ein solches bösartiges Zertifikat würde GnuTLS als gültig anerkennen. Korrekt wäre ein "goto fail", denn dann wird ein entsprechender Fehlercode gesetzt.

Die GnuTLS-Entwickler haben die Versionen 3.2.12 und 3.1.22 herausgegeben, in denen das Problem behoben ist. Für die ältere Version 2, die noch in manchen Linux-Distributionen zum Einsatz kommt, gibt es bislang kein Update, jedoch steht ein Patch hierfür bereit.

GnuTLS ist eine unter der LGPL stehende Bibliothek für TLS-Verbindungen und wird vor allem unter Linux genutzt. Verwendet wird GnuTLS überwiegend von kleineren Tools; Browser und Webserver setzen meist entweder auf OpenSSL oder NSS. Für Debian, Ubuntu und Red Hat steht bereits ein Update zur Verfügung.


eye home zur Startseite
pu_king81 06. Mär 2014

Also ich habe hier z.B.: - gnutls-bin - libgnutls* (viele verschiedene Pakete...

violator 05. Mär 2014

Bei ClosedSource ist das aber relativ schwierig. Bei OpenSource ist das so als wenn du...

M.P. 05. Mär 2014

Wobei der Codeschnipsel aus dem Artikel schon sehr nach Fehlerbehandlung aussieht... OT...

chrulri 04. Mär 2014

Jup :-)

Granini 04. Mär 2014

OK, das mit dem nichtssagenden "fail" sehe ich doch nicht mehr so. Vermutlich ist das...



Anzeige

Stellenmarkt
  1. Carmeq GmbH, Wolfsburg, Berlin
  2. L-Bank Staatsbank für Baden-Württemberg, Karlsruhe
  3. Helvetia schweizerische Lebensversicherungs-AG, Frankfurt am Main
  4. Aligia GmbH über ACADEMIC WORK, Ingolstadt


Anzeige
Top-Angebote
  1. 39,99€
  2. 219,00€
  3. 15,99€

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Globale SAP-Anwendungsunterstützung durch Outsourcing
  2. Praxiseinsatz, Nutzen und Grenzen von Hadoop und Data Lakes


  1. Hoversurf

    Hoverbike Scorpion-3 ist ein Motorradcopter

  2. Rubbelcard

    Freenet-TV-Guthabenkarten gehen in den Verkauf

  3. Nintendo

    Interner Speicher von Switch offenbar schon jetzt zu klein

  4. Noch 100 Tage

    Unitymedia schaltet Analogfernsehen schrittweise ab

  5. Routerfreiheit

    Tagelange Störung bei Aktivierungsportal von Vodafone

  6. Denverton

    Intel plant Atom C3000 mit bis zu 16 Goldmont-CPU-Kernen

  7. Trotz Weiterbildung

    Arbeitslos als Fachinformatiker

  8. Klage gegen Steuernachzahlung

    Apple beruft sich auf europäische Grundrechte

  9. 3D Studio

    Nvidia spendiert Qt Hunderttausende Zeilen Code

  10. Horizon Zero Dawn im Test

    Abenteuer im Land der Maschinenmonster



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Apple: Planet der affigen Fernsehshows
Apple
Planet der affigen Fernsehshows
  1. Streaming Vodafone GigaTV ermöglicht Fernsehen unterwegs
  2. Kabelnetz Unitymedia hat neue Preise für Internetzugänge
  3. Deutsche TV-Plattform über VR "Ein langer Weg vom Wow-Effekt zum dauerhaften Format"

Mobile-Games-Auslese: Schiffbruch auf der Milchstraße für mobile Spieler
Mobile-Games-Auslese
Schiffbruch auf der Milchstraße für mobile Spieler

München: Wie Limux unter Ausschluss der Öffentlichkeit zerstört wird
München
Wie Limux unter Ausschluss der Öffentlichkeit zerstört wird
  1. Fake News Für Facebook wird es hässlich
  2. Nach Angriff auf Telekom Mit dem Strafrecht Router ins Terrorcamp schicken oder so
  3. Soziales Netzwerk Facebook wird auch Instagram kaputt machen

  1. Re: Kann ich nicht bestätigen...

    bjs | 19:29

  2. Re: Die meisten Admins sind Nichtskönner

    eric33303 | 19:28

  3. Re: Warum kann man es nicht gleich in den...

    Jackie | 19:27

  4. Re: Erfahrungsbericht aus der echten Praxis...

    Gromran | 19:23

  5. Re: Wen wundert das jetzt?

    Gromran | 19:19


  1. 18:30

  2. 18:14

  3. 16:18

  4. 15:53

  5. 15:29

  6. 15:00

  7. 14:45

  8. 14:13


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel