Golem pur

Golem.de ohne Werbung nutzen
Mehrseitige Artikel auf einer Seite lesen
RSS-Volltext-Feed für Artikel
Ab 3,00 € pro Monat

Sicherheitslücke: GnuTLS setzt Session-Keys auf null

Eine gravierende Sicherheitslücke in GnuTLS führt dazu, dass TLS-1.2-Verbindungen nachträglich entschlüsselt werden können.

Artikel veröffentlicht am 9. Juni 2020, 10:45 Uhr, Hanno Böck

Eine gravierende Sicherheitslücke in GnuTLS führt dazu, dass man in vielen Fällen sogar alten Datenverkehr entschlüsseln kann. (Bild: Modifiziertes GnuTLS-Logo)

Eine große Sicherheitslücke ist in der GnuTLS-Bibliothek entdeckt worden. Diese führt dazu, dass Verbindungen mit TLS 1.2 oder älteren Versionen in den meisten Fällen nachträglich entschlüsselt werden können. Bei TLS 1.3 sind Man-in-the-Middle-Angriffe möglich.

Stellenmarkt

Softwareentwickler Embedded Systems (m/w/d)
Gratz Engineering GmbH, verschiedene Standorte
Leiter:in Zentrale Versicherungsanwendungen
HUK-COBURG Versicherungsgruppe, Coburg

Detailsuche

Entdeckt wurde das Problem von Fiona Klute, der Entwicklerin des Apache-Moduls von GnuTLS. Die Ursache des Problems ist die sogenannte Session Resumption von TLS. Dabei kann eine Verbindung mit Schlüsselmaterial aus einer früheren Verbindung durchgeführt und der kostspieligen Handshake eingespart werden.

Schlüssel war effektiv auf null gesetzt

Das Problem: Bei GnuTLS war der Schlüssel für diese Session Resumption aufgrund eines Bugs auf null gesetzt. In älteren TLS-Versionen ist dieser Fehler dann ein Totalschaden: Angreifer können eine TLS-Verbindung, die Session Resumption nutzt, komplett entschlüsseln.

In TLS 1.3 wurde der Handshake neu gestaltet und auch im Fall einer Wiederaufnahme von vorherigen Verbindungen wird neues Schlüsselmaterial verwendet. Das verhindert in diesem Fall eine nachträgliche Entschlüsselung von Daten, ein aktiver Angriff durch einen Man in the Middle bleibt aber möglich.

Golem Karrierewelt

IT-Sicherheit: (Anti-)Hacking für Administratoren und Systembetreuer: virtueller Drei-Tage-Workshop
28.-30.06.2023, Virtuell
Certified Network Defender (CND): virtueller Fünf-Tage-Workshop
06.-10.02.2023, Virtuell

Weitere IT-Trainings

GnuTLS hat die Sicherheitslücke in Version 3.6.14 geschlossen. Betroffen sind alle Versionen ab 3.6.4, der Fehler hat die Kennung CVE-2020-13777 erhalten. Mit der neuen GnuTLS-Version wird außerdem ein Problem behoben, das zu Fehlern bei der Zertifikatsvalidierung führte, wenn abgelaufene Zertifikate in der Zertifikatskette vorhanden sind.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de

ohne Werbung
mit ausgeschaltetem Javascript
mit RSS-Volltext-Feed

Reklame: Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon

Themenseiten:

Kommentarübersicht

Re: Broken by design?

Marsu42 09. Jun 2020

- LibreSSL hat sich aus demselben Grund von OpenSSL abgespalten (wird aber afaik nicht...

Artikel

Responsible Disclosure

Obi macht das Melden einer Sicherheitslücke schwer

Ein Sicherheitsforscher hat eine Lücke bei mehreren Unternehmen und Stadtverwaltungen gemeldet. Obi machte es ihm besonders schwer.
Telefónica

Warum der LTE-Ausbau in der U-Bahn so lange dauert

Seit August 2010 laufen in Deutschland LTE-Netze. Nun wird 5G langsam wichtiger, doch die Berliner U-Bahn ist noch immer nicht für alle mit 4G versorgt.
Sono Motors

Solarauto Sion steht vor dem Aus

Sono Motors hat nicht mehr genug Geld für den Aufbau der Serienproduktion des Solarautos Sion. Nun soll die Community finanziell helfen. Mal wieder.

Schnäppchen, Rabatte und Top-Angebote

Die besten Deals des Tages

Daily Deals • PS5 bei Amazon • Samsung SSDs bis -28% • Rabatt-Code für ebay • Logitech Mäuse, Tastaturen & Headsets -53% • HyperX PC-Peripherie -56% • Google Pixel 6 & 7 -49% • PS5-Spiele günstiger • Tiefstpreise: Palit RTX 4080 1.369€, Roccat Kone Pro 39,99€, Asus RTX 6950 XT 939€ [Werbung]

Themen
A
B
C
D
E
F
G
H
I
J
K
L
M
N
O
P
Q
R
S
T
U
V
W
X
Y
Z
#