• IT-Karriere:
  • Services:

Security: Weiterer schwerer Fehler in GnuTLS

Fast unbemerkt haben Entwickler eine weitere Sicherheitslücke in der Kryptobibliothek GnuTLS geschlossen. Anwendungen, die die Bibliothek nutzen, müssen jedoch ebenfalls angepasst werden.

Artikel veröffentlicht am ,
In GnuTLS wurde ein neuer Fehler entdeckt und repariert.
In GnuTLS wurde ein neuer Fehler entdeckt und repariert. (Bild: Screenshot Gitorious)

In der Kryptobibliothek GnuTLS ist ein neuer Fehler entdeckt und bereits behoben worden. Allerdings müssen Anwendungen, die GnuTLS als Basis verwenden, ebenfalls geflickt werden. Da es sich dabei um einige hundert handelt, dürfte das eine Weile dauern. Es ist die zweite große Lücke in der Kryptobibliothek für Linux innerhalb weniger Wochen.

Stellenmarkt
  1. Freie und Hansestadt Hamburg, Behörde für Stadtentwicklung und Wohnen, Hamburg
  2. ekom21 - KGRZ Hessen, Gießen, Kassel

Bereits am vergangenen Freitag hatten die Entwickler die Versionen 3.1.25, 3.2.15 und 3.3.4 von GnuTLS nachgereicht, in denen der Fehler CVE-2014-3466 behoben wurde. Durch ihn konnten Angreifer in einer neuen TLS/SSL-Verbindung mit einer überlangen Session-ID einen Pufferüberlauf in einer Client-Anwendung auf dem Rechner eines Opfers auslösen. Darüber lässt sich unter Umständen beliebiger Code ausführen oder die Anwendung stürzt einfach ab. Der Fehler lässt sich deshalb auch in Drive-By-Angriffen nutzen. Berichte über aktuelle Angriffe gibt es jedoch nicht.

Erst Anfang März 2014 hatten Entwickler einen Fehler in der Kryptobibliothek behoben, der dazu führen konnte, dass gefälschte Zertifikate akzeptiert wurden. Die Sicherheitslücke, die mit der ID CVE-2014-0092 bezeichnet wird, wurde wie auch die jetzige bei einem Audit für die Linux-Distribution Red Hat entdeckt.

GnuTLS ist eine unter der LGPL stehende Bibliothek für TLS-Verbindungen und wird vor allem unter Linux genutzt. Verwendet wird GnuTLS überwiegend von kleineren Tools. Browser und Webserver setzen meist entweder auf OpenSSL oder NSS. Sofern sie nicht über die Softwarequellen einer Distribution zur Verfügung stehen, gibt es die aktuellen Versionen von GnuTLS auf der Webseite des Projekts.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Spiele-Angebote
  1. 3,58€
  2. 4,25€
  3. (-35%) 25,99€
  4. 4,65€

MasterKeule 05. Jun 2014

Ach so ist das. Na dann ist es ja kein Problem, dass die Standardbibliothek von C seit...

Perry3D 05. Jun 2014

Ein einfaches Austauschen der Bibliothek sollte doch ausreichen, oder?


Folgen Sie uns
       


Lenovo Thinkpad X1 Fold angesehen (CES 2020)

Das Tablet mit faltbarem Display läuft mit Windows 10X und soll Mitte 2020 in den Handel kommen.

Lenovo Thinkpad X1 Fold angesehen (CES 2020) Video aufrufen
Programmieren lernen: Informatik-Apps für Kinder sind oft zu komplex
Programmieren lernen
Informatik-Apps für Kinder sind oft zu komplex

Der Informatikunterricht an deutschen Schulen ist in vielen Bereichen mangelhaft. Apps versprechen, Kinder beim Spielen einfach an das Thema heranzuführen. Das können sie aber bislang kaum einhalten.
Von Tarek Barkouni

  1. Kano-PC Kano und Microsoft bringen Lern-Tablet mit Windows 10

Europäische Netzpolitik: Die Rückkehr des Axel Voss
Europäische Netzpolitik
Die Rückkehr des Axel Voss

Elektronische Beweismittel, Nutzertracking, Terrorinhalte: In der EU stehen in diesem Jahr wichtige netzpolitische Entscheidungen an. Auch Axel Voss will wieder mitmischen. Und wird Ursula von der Leyen mit dem "Digitale-Dienste-Gesetz" wieder zu "Zensursula"?
Eine Analyse von Friedhelm Greis

  1. Mitgliederentscheid Netzpolitikerin Esken wird SPD-Chefin
  2. Nach schwerer Krankheit FDP-Netzpolitiker Jimmy Schulz gestorben

Fitnesstracker im Test: Aldi sportlich abgeschlagen hinter Honor und Mi Band 4
Fitnesstracker im Test
Aldi sportlich abgeschlagen hinter Honor und Mi Band 4

Alle kosten um die 30 Euro, haben ähnliche Funktionen - trotzdem gibt es bei aktuellen Fitnesstrackern von Aldi, Honor und Xiaomi spürbare Unterschiede. Als größte Stärke des Geräts von Aldi empfanden wir kurioserweise eine technische Schwäche.
Von Peter Steinlechner

  1. Wearable Acer und Vatikan präsentieren smarten Rosenkranz
  2. Apple Watch Series 5 im Test Endlich richtungsweisend
  3. Suunto 5 Sportuhr mit schlauem Akku vorgestellt

    •  /