Abo
  • Services:
Anzeige
In GnuTLS wurde ein neuer Fehler entdeckt und repariert.
In GnuTLS wurde ein neuer Fehler entdeckt und repariert. (Bild: Screenshot Gitorious)

Security: Weiterer schwerer Fehler in GnuTLS

Fast unbemerkt haben Entwickler eine weitere Sicherheitslücke in der Kryptobibliothek GnuTLS geschlossen. Anwendungen, die die Bibliothek nutzen, müssen jedoch ebenfalls angepasst werden.

Anzeige

In der Kryptobibliothek GnuTLS ist ein neuer Fehler entdeckt und bereits behoben worden. Allerdings müssen Anwendungen, die GnuTLS als Basis verwenden, ebenfalls geflickt werden. Da es sich dabei um einige hundert handelt, dürfte das eine Weile dauern. Es ist die zweite große Lücke in der Kryptobibliothek für Linux innerhalb weniger Wochen.

Bereits am vergangenen Freitag hatten die Entwickler die Versionen 3.1.25, 3.2.15 und 3.3.4 von GnuTLS nachgereicht, in denen der Fehler CVE-2014-3466 behoben wurde. Durch ihn konnten Angreifer in einer neuen TLS/SSL-Verbindung mit einer überlangen Session-ID einen Pufferüberlauf in einer Client-Anwendung auf dem Rechner eines Opfers auslösen. Darüber lässt sich unter Umständen beliebiger Code ausführen oder die Anwendung stürzt einfach ab. Der Fehler lässt sich deshalb auch in Drive-By-Angriffen nutzen. Berichte über aktuelle Angriffe gibt es jedoch nicht.

Erst Anfang März 2014 hatten Entwickler einen Fehler in der Kryptobibliothek behoben, der dazu führen konnte, dass gefälschte Zertifikate akzeptiert wurden. Die Sicherheitslücke, die mit der ID CVE-2014-0092 bezeichnet wird, wurde wie auch die jetzige bei einem Audit für die Linux-Distribution Red Hat entdeckt.

GnuTLS ist eine unter der LGPL stehende Bibliothek für TLS-Verbindungen und wird vor allem unter Linux genutzt. Verwendet wird GnuTLS überwiegend von kleineren Tools. Browser und Webserver setzen meist entweder auf OpenSSL oder NSS. Sofern sie nicht über die Softwarequellen einer Distribution zur Verfügung stehen, gibt es die aktuellen Versionen von GnuTLS auf der Webseite des Projekts.


eye home zur Startseite
MasterKeule 05. Jun 2014

Ach so ist das. Na dann ist es ja kein Problem, dass die Standardbibliothek von C seit...

Perry3D 05. Jun 2014

Ein einfaches Austauschen der Bibliothek sollte doch ausreichen, oder?



Anzeige

Stellenmarkt
  1. Automotive Safety Technologies GmbH, Gaimersheim
  2. T-Systems International GmbH, Leinfelden-Echterdingen
  3. Experis GmbH, Kiel
  4. Werner Sobek Group GmbH, Stuttgart


Anzeige
Spiele-Angebote
  1. 18,99€
  2. 6,99€
  3. 109,99€/119,99€ (Vorbesteller-Preisgarantie)

Folgen Sie uns
       


  1. Electro Fluidic Technology

    Schnelles E-Paper-Display für Video-Anwendungen

  2. Heiko Maas

    "Kein Wunder, dass Facebook seine Vorgaben geheim hält"

  3. Virtual Reality

    Oculus Rift unterstützt offiziell Roomscale-VR

  4. FTP-Client

    Filezilla bekommt ein Master Password

  5. Künstliche Intelligenz

    Apple arbeitet offenbar an eigenem AI-Prozessor

  6. Die Woche im Video

    Verbogen, abgehoben und tiefergelegt

  7. ZTE

    Chinas großes 5G-Testprojekt läuft weiter

  8. Ubisoft

    Far Cry 5 bietet Kampf gegen Sekte in und über Montana

  9. Rockstar Games

    Waffenschiebereien in GTA 5

  10. Browser-Games

    Unreal Engine 4.16 unterstützt Wasm und WebGL 2.0



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
XPS 13 (9365) im Test: Dells Convertible zeigt alte Stärken und neue Schwächen
XPS 13 (9365) im Test
Dells Convertible zeigt alte Stärken und neue Schwächen
  1. Prozessor Intel wird Thunderbolt 3 in CPUs integrieren
  2. Schnittstelle Intel pflegt endlich Linux-Treiber für Thunderbolt
  3. Atom C2000 & Kaby Lake Updates beheben Defekt respektive fehlendes HDCP 2.2

Calliope Mini im Test: Neuland lernt programmieren
Calliope Mini im Test
Neuland lernt programmieren
  1. Arduino Cinque RISC-V-Prozessor und ESP32 auf einem Board vereint
  2. MKRFOX1200 Neues Arduino-Board erscheint mit kostenlosem Datentarif
  3. Creoqode 2048 Tragbare Spielekonsole zum Basteln erhältlich

Tado im Langzeittest: Am Ende der Heizperiode
Tado im Langzeittest
Am Ende der Heizperiode
  1. Speedport Smart Telekom bringt Smart-Home-Funktionen auf den Speedport
  2. Tapdo Das Smart Home mit Fingerabdrücken steuern
  3. Mehr Möbel als Gadget Eine Holzfernbedienung für das Smart Home

  1. Re: Volumenbegrenzungen abschaffen

    Tet | 10:35

  2. Re: Siri und diktieren

    rabatz | 10:24

  3. Re: Mal ne dumme Gegenfrage:

    Apfelbrot | 10:13

  4. Re: Was habe ich von Netzneutralität als Kunde?

    sundown73 | 10:11

  5. Re: Unangenehme Beiträge hervorheben statt zu...

    raphaelo00 | 10:09


  1. 10:35

  2. 12:54

  3. 12:41

  4. 11:44

  5. 11:10

  6. 09:01

  7. 17:40

  8. 16:40


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel