Security: Weiterer schwerer Fehler in GnuTLS

Fast unbemerkt haben Entwickler eine weitere Sicherheitslücke in der Kryptobibliothek GnuTLS geschlossen. Anwendungen, die die Bibliothek nutzen, müssen jedoch ebenfalls angepasst werden.

Artikel veröffentlicht am ,
In GnuTLS wurde ein neuer Fehler entdeckt und repariert.
In GnuTLS wurde ein neuer Fehler entdeckt und repariert. (Bild: Screenshot Gitorious)

In der Kryptobibliothek GnuTLS ist ein neuer Fehler entdeckt und bereits behoben worden. Allerdings müssen Anwendungen, die GnuTLS als Basis verwenden, ebenfalls geflickt werden. Da es sich dabei um einige hundert handelt, dürfte das eine Weile dauern. Es ist die zweite große Lücke in der Kryptobibliothek für Linux innerhalb weniger Wochen.

Stellenmarkt
  1. Technikkoordinator/in Datenaustausch (w/m/d)
    Statistisches Bundesamt, Wiesbaden
  2. IT Servicetechniker*in
    SCHOTT AG, Müllheim
Detailsuche

Bereits am vergangenen Freitag hatten die Entwickler die Versionen 3.1.25, 3.2.15 und 3.3.4 von GnuTLS nachgereicht, in denen der Fehler CVE-2014-3466 behoben wurde. Durch ihn konnten Angreifer in einer neuen TLS/SSL-Verbindung mit einer überlangen Session-ID einen Pufferüberlauf in einer Client-Anwendung auf dem Rechner eines Opfers auslösen. Darüber lässt sich unter Umständen beliebiger Code ausführen oder die Anwendung stürzt einfach ab. Der Fehler lässt sich deshalb auch in Drive-By-Angriffen nutzen. Berichte über aktuelle Angriffe gibt es jedoch nicht.

Erst Anfang März 2014 hatten Entwickler einen Fehler in der Kryptobibliothek behoben, der dazu führen konnte, dass gefälschte Zertifikate akzeptiert wurden. Die Sicherheitslücke, die mit der ID CVE-2014-0092 bezeichnet wird, wurde wie auch die jetzige bei einem Audit für die Linux-Distribution Red Hat entdeckt.

GnuTLS ist eine unter der LGPL stehende Bibliothek für TLS-Verbindungen und wird vor allem unter Linux genutzt. Verwendet wird GnuTLS überwiegend von kleineren Tools. Browser und Webserver setzen meist entweder auf OpenSSL oder NSS. Sofern sie nicht über die Softwarequellen einer Distribution zur Verfügung stehen, gibt es die aktuellen Versionen von GnuTLS auf der Webseite des Projekts.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Kanadische Polizei
Diebe nutzen Apples Airtags zum Tracking von Luxuswagen

Autodiebe in Kanada nutzen offenbar Apples Airtags, um Fahrzeuge heimlich zu orten.

Kanadische Polizei: Diebe nutzen Apples Airtags zum Tracking von Luxuswagen
Artikel
  1. Blender Foundation: Blender 3.0 ist da
    Blender Foundation
    Blender 3.0 ist da

    Die freie 3D-Software Blender bekommt ein Update - wir haben es uns angesehen.
    Von Martin Wolf

  2. 4 Motoren und 4-Rad-Lenkung: Tesla aktualisiert Cybertruck
    4 Motoren und 4-Rad-Lenkung
    Tesla aktualisiert Cybertruck

    Tesla-Chef Elon Musk hat einige Änderungen am Cybertruck angekündigt. Der elektrische Pick-up-Truck wird mit vier Motoren ausgerüstet.

  3. DSIRF: Hackerbehörde Zitis prüft österreichischen Staatstrojaner
    DSIRF
    Hackerbehörde Zitis prüft österreichischen Staatstrojaner

    Deutsche Behörden sind mit mehreren Staatstrojaner-Herstellern im Gespräch. Nun ist ein weiterer mit Sitz in Wien bekanntgeworden.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Saturn-Advent: SanDisk Ultra 3D 1 TB 77€ • KFA2 Geforce RTX 3070 OC 8GB 1.019€ • Alternate (u. a. AKRacing Core SX 269,98€) • Sharkoon PureWriter RGB 44,90€ • Corsair K70 RGB MK.2 139,99€ • 2x Canton Plus GX.3 49€ • Gaming-Monitore günstiger (u. a. Samsung G3 27" 144Hz 219€) [Werbung]
    •  /