Abo
  • Services:
Anzeige
Auch bei GnuTLS heißt es: "goto fail".
Auch bei GnuTLS heißt es: "goto fail". (Bild: Screenshot Gitorious)

GnuTLS: Fehlerhafte Zertifikate akzeptiert

Auch bei GnuTLS heißt es: "goto fail".
Auch bei GnuTLS heißt es: "goto fail". (Bild: Screenshot Gitorious)

In der Verschlüsselungsbibliothek GnuTLS ist ein Fehler gefunden worden, der dazu führen kann, dass bösartige, gefälschte Zertifikate akzeptiert werden. Ähnlich wie bei der kürzlich bei Apple entdeckten Lücke spielt ein "goto fail" eine Rolle.

Die Entwickler der Verschlüsselungsbibliothek GnuTLS berichten über eine Sicherheitslücke, die dazu führen kann, dass gefälschte Zertifikate akzeptiert werden. Die Sicherheitslücke, die mit der ID CVE-2014-0092 bezeichnet wird, wurde bei einem Audit für die Linux-Distribution Red Hat entdeckt.

Anzeige

Ein Blick auf den geänderten Code erinnert an die als "goto fail" bekanntgewordene Sicherheitslücke, die kürzlich in Apple-Produkten entdeckt wurde. Der fehlerhafte C-Code von GnuTLS führt in bestimmten Situationen, wenn Prüfungen der Struktur des Zertifikats fehlschlagen, einen Befehl "goto cleanup" aus. Anschließend wird die Funktion beendet und es sieht für den weiteren Programmverlauf so aus, als sei das Zertifikat gültig. Ein Angreifer könnte ein Zertifikat erstellen, in dem an den entsprechenden Stellen Fehler sind. Ein solches bösartiges Zertifikat würde GnuTLS als gültig anerkennen. Korrekt wäre ein "goto fail", denn dann wird ein entsprechender Fehlercode gesetzt.

Die GnuTLS-Entwickler haben die Versionen 3.2.12 und 3.1.22 herausgegeben, in denen das Problem behoben ist. Für die ältere Version 2, die noch in manchen Linux-Distributionen zum Einsatz kommt, gibt es bislang kein Update, jedoch steht ein Patch hierfür bereit.

GnuTLS ist eine unter der LGPL stehende Bibliothek für TLS-Verbindungen und wird vor allem unter Linux genutzt. Verwendet wird GnuTLS überwiegend von kleineren Tools; Browser und Webserver setzen meist entweder auf OpenSSL oder NSS. Für Debian, Ubuntu und Red Hat steht bereits ein Update zur Verfügung.


eye home zur Startseite
pu_king81 06. Mär 2014

Also ich habe hier z.B.: - gnutls-bin - libgnutls* (viele verschiedene Pakete...

violator 05. Mär 2014

Bei ClosedSource ist das aber relativ schwierig. Bei OpenSource ist das so als wenn du...

M.P. 05. Mär 2014

Wobei der Codeschnipsel aus dem Artikel schon sehr nach Fehlerbehandlung aussieht... OT...

chrulri 04. Mär 2014

Jup :-)

Granini 04. Mär 2014

OK, das mit dem nichtssagenden "fail" sehe ich doch nicht mehr so. Vermutlich ist das...



Anzeige

Stellenmarkt
  1. htp GmbH, Hannover
  2. Hella Gutmann Solutions GmbH, Ihringen
  3. Aareal Bank AG, Wiesbaden
  4. implexis GmbH, Braunschweig


Anzeige
Spiele-Angebote
  1. (-80%) 4,99€
  2. 8,49€
  3. (-13%) 34,99€

Folgen Sie uns
       


  1. Smartphone-Tastatur

    Nuance stellt Swype ein

  2. Homebrew

    Bastler veröffentlichen alternativen Launcher für Switch

  3. Telekom

    15 Millionen Haushalte sollen 2018 Super Vectoring erhalten

  4. Windows Phone 7.5 und 8.0

    Microsoft schaltet Smartphone-Funktionen ab

  5. Raja Koduri

    Intel zeigt Prototyp von dediziertem Grafikchip

  6. Vizzion

    VW zeigt selbstfahrendes Auto ohne Lenkrad

  7. iOS, MacOS und WatchOS

    Apple verteilt Updates wegen Telugu-Bug

  8. Sicherheitslücken

    Mehr als 30 Klagen gegen Intel wegen Meltdown und Spectre

  9. Nightdive Studios

    Arbeit an System Shock Remake bis auf Weiteres eingestellt

  10. FTTH

    Landkreistag fordert mit Vodafone Glasfaser bis in Gebäude



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Ryzen 5 2400G und Ryzen 3 2200G im Test: Raven Ridge rockt
Ryzen 5 2400G und Ryzen 3 2200G im Test
Raven Ridge rockt
  1. Raven Ridge AMD verschickt CPUs für UEFI-Update
  2. Krypto-Mining AMDs Threadripper schürft effizient Monero
  3. AMD Zen+ und Zen 2 sind gegen Spectre gehärtet

Razer Kiyo und Seiren X im Test: Nicht professionell, aber schnell im Einsatz
Razer Kiyo und Seiren X im Test
Nicht professionell, aber schnell im Einsatz
  1. Stereolautsprecher Razer Nommo "Sind das Haartrockner?"
  2. Nextbit Cloud-Speicher für Robin-Smartphone wird abgeschaltet
  3. Razer Akku- und kabellose Spielemaus Mamba Hyperflux vorgestellt

Freier Media-Player: VLC 3.0 eint alle Plattformen
Freier Media-Player
VLC 3.0 eint alle Plattformen

  1. Re: Interessante Fragen bleiben unbeantwortet

    Gucky | 10:37

  2. Re: nur Windows 10, nur Windows Store?

    Lemo | 10:35

  3. Re: Finde ich gut

    RipClaw | 10:35

  4. Re: das erinnert mich an Vivo

    elcaron | 10:34

  5. Re: Das kann nicht in D klappen

    Mingfu | 10:34


  1. 10:40

  2. 10:23

  3. 10:04

  4. 08:51

  5. 06:37

  6. 06:27

  7. 00:27

  8. 18:27


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel