Security: Weiterer schwerer Fehler in GnuTLS

Fast unbemerkt haben Entwickler eine weitere Sicherheitslücke in der Kryptobibliothek GnuTLS geschlossen. Anwendungen, die die Bibliothek nutzen, müssen jedoch ebenfalls angepasst werden.

4. Juni 2014 um 07:20 Uhr / Jörg Thoma

5 Kommentare News folgen (öffnet im neuen Fenster)

In GnuTLS wurde ein neuer Fehler entdeckt und repariert. (Bild: Screenshot Gitorious) — In GnuTLS wurde ein neuer Fehler entdeckt und repariert. Bild: Screenshot Gitorious

In der Kryptobibliothek GnuTLS ist ein neuer Fehler entdeckt und bereits behoben worden. Allerdings müssen Anwendungen, die GnuTLS als Basis verwenden, ebenfalls geflickt werden. Da es sich dabei um einige hundert handelt, dürfte das eine Weile dauern. Es ist die zweite große Lücke in der Kryptobibliothek für Linux innerhalb weniger Wochen.

Neue Angebote bei Golem Jobs(öffnet im neuen Fenster)

Mitarbeiter / Mitarbeiterin (w/m/d) im Bereich der betrieblichen IT-Sicherheitsüberwachung Bundesnachrichtendienst, Berlin (öffnet im neuen Fenster)

IT-Spezialist ERP-Schnittstellen (m/w/d) A.T.U Auto-Teile-Unger GmbH & Co. KG, Weiden,Home Office (öffnet im neuen Fenster)

Programmberater (m/w/d) im Referat Philipp Schwartz-Initiative und Wissenschaftsfreiheit Alexander von Humboldt-Stiftung, Bonn (öffnet im neuen Fenster)

Senior SAP Inhouse Consultant (m/w/d) für SD & S/4 HANA Einführung Rubix GmbH, Plattling (öffnet im neuen Fenster)

Senior Full Stack Developer (m/w/d) WESTPRESS GmbH & Co KG, Hamm (öffnet im neuen Fenster)

SAP-Anwendungsentwickler (m/w/d) - ABAP-Programmierung & Systemumstellung auf S/4HANA Akkodis Germany Tech Experts GmbH, Dresden (öffnet im neuen Fenster)

Referent/in (m/w/d) für Netzwerke Katholische Familienzentren Erzbistum Köln, Köln (öffnet im neuen Fenster)

Ausbildung Fachinformatiker/-in (m/w/d) für Systemintegration oder für Anwendungsentwicklung Universität Regensburg, Regensburg (öffnet im neuen Fenster)

Bereits am vergangenen Freitag hatten die Entwickler die Versionen 3.1.25, 3.2.15 und 3.3.4 von GnuTLS nachgereicht, in denen der Fehler CVE-2014-3466(öffnet im neuen Fenster) behoben wurde. Durch ihn konnten Angreifer in einer neuen TLS/SSL-Verbindung mit einer überlangen Session-ID einen Pufferüberlauf in einer Client-Anwendung auf dem Rechner eines Opfers auslösen(öffnet im neuen Fenster) . Darüber lässt sich unter Umständen beliebiger Code ausführen oder die Anwendung stürzt einfach ab. Der Fehler lässt sich deshalb auch in Drive-By-Angriffen nutzen. Berichte über aktuelle Angriffe gibt es jedoch nicht.

Erst Anfang März 2014 hatten Entwickler einen Fehler in der Kryptobibliothek behoben, der dazu führen konnte, dass gefälschte Zertifikate akzeptiert wurden. Die Sicherheitslücke, die mit der ID CVE-2014-0092(öffnet im neuen Fenster) bezeichnet wird, wurde wie auch die jetzige bei einem Audit für die Linux-Distribution Red Hat entdeckt.

GnuTLS ist eine unter der LGPL stehende Bibliothek für TLS-Verbindungen und wird vor allem unter Linux genutzt. Verwendet wird GnuTLS überwiegend von kleineren Tools. Browser und Webserver setzen meist entweder auf OpenSSL oder NSS. Sofern sie nicht über die Softwarequellen einer Distribution zur Verfügung stehen, gibt es die aktuellen Versionen von GnuTLS auf der Webseite des Projekts(öffnet im neuen Fenster) .

Zur Startseite 5 Kommentare

Reklame Hier geht es zum Handbuch für Softwareentwickler bei Amazon

Relevante Themen