Sicherheitslücke: GnuTLS setzt Session-Keys auf null

Eine gravierende Sicherheitslücke in GnuTLS führt dazu, dass TLS-1.2-Verbindungen nachträglich entschlüsselt werden können.

Artikel veröffentlicht am ,
Eine gravierende Sicherheitslücke in GnuTLS führt dazu, dass man in vielen Fällen sogar alten Datenverkehr entschlüsseln kann.
Eine gravierende Sicherheitslücke in GnuTLS führt dazu, dass man in vielen Fällen sogar alten Datenverkehr entschlüsseln kann. (Bild: Modifiziertes GnuTLS-Logo)

Eine große Sicherheitslücke ist in der GnuTLS-Bibliothek entdeckt worden. Diese führt dazu, dass Verbindungen mit TLS 1.2 oder älteren Versionen in den meisten Fällen nachträglich entschlüsselt werden können. Bei TLS 1.3 sind Man-in-the-Middle-Angriffe möglich.

Stellenmarkt
  1. Softwareentwickler Applikation Backend (w/m/d)
    GS Elektromedizinische Geräte G. Stemple GmbH, Kaufering
  2. Softwareentwickler PHP/Web (m/w/d)
    W. Pelz GmbH & Co. KG, Wahlstedt
Detailsuche

Entdeckt wurde das Problem von Fiona Klute, der Entwicklerin des Apache-Moduls von GnuTLS. Die Ursache des Problems ist die sogenannte Session Resumption von TLS. Dabei kann eine Verbindung mit Schlüsselmaterial aus einer früheren Verbindung durchgeführt und der kostspieligen Handshake eingespart werden.

Schlüssel war effektiv auf null gesetzt

Das Problem: Bei GnuTLS war der Schlüssel für diese Session Resumption aufgrund eines Bugs auf null gesetzt. In älteren TLS-Versionen ist dieser Fehler dann ein Totalschaden: Angreifer können eine TLS-Verbindung, die Session Resumption nutzt, komplett entschlüsseln.

In TLS 1.3 wurde der Handshake neu gestaltet und auch im Fall einer Wiederaufnahme von vorherigen Verbindungen wird neues Schlüsselmaterial verwendet. Das verhindert in diesem Fall eine nachträgliche Entschlüsselung von Daten, ein aktiver Angriff durch einen Man in the Middle bleibt aber möglich.

Golem Akademie
  1. Linux-Systeme absichern und härten
    8.-10. November 2021, online
  2. Microsoft 365 Security Workshop
    27.-29. Oktober 2021, Online
  3. Penetration Testing Fundamentals
    23.-24. September 2021, online
Weitere IT-Trainings

GnuTLS hat die Sicherheitslücke in Version 3.6.14 geschlossen. Betroffen sind alle Versionen ab 3.6.4, der Fehler hat die Kennung CVE-2020-13777 erhalten. Mit der neuen GnuTLS-Version wird außerdem ein Problem behoben, das zu Fehlern bei der Zertifikatsvalidierung führte, wenn abgelaufene Zertifikate in der Zertifikatskette vorhanden sind.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Computerspiele
Geniale Geheimtipps von Atomkraft bis Alltag

Radioaktive Abenteuer in Chernobylite und der (vermeintliche) Alltag in The Last Stop: Golem.de stellt ungewöhnliche Spiele-Neuheiten vor.
Von Rainer Sigl

Computerspiele: Geniale Geheimtipps von Atomkraft bis Alltag
Artikel
  1. Google: Neue Android-Funktionen sollen im Linux-Hauptzweig landen
    Google
    Neue Android-Funktionen sollen im Linux-Hauptzweig landen

    Noch pflegt Google für Android selbst einige externe Linux-Kernel-Funktionen. Das soll sich künftig ändern.

  2. Lightning ade: EU will USB-C als alleinige Handy-Ladebuchse vorschreiben
    Lightning ade
    EU will USB-C als alleinige Handy-Ladebuchse vorschreiben

    Die EU-Kommission will eine einheitliche Ladebuchse einführen. USB-C soll zum Aufladen aller möglichen Kleingeräte verwendet werden.

  3. Malware: Mehrere Kliniken nach Hackerangriff vom Netz genommen
    Malware
    Mehrere Kliniken nach Hackerangriff vom Netz genommen

    Neben den Kliniken seien auch Bildungseinrichtungen von dem Malware-Angriff betroffen. Sicherheitshalber wird nun mit Papier und Stift gearbeitet.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • PS5 & Xbox Series X bestellbar • Alternate-Deals (u. a. Acer Nitro 27" FHD 159,90€) • Nintendo Switch OLED 359,99€ + Metroid Dread 411,98€ • Neuer Kindle Paperwhite Signature Edition vorbestellbar 189,99€ • Black Week bei NBB: Bis 50% Rabatt (u. a. MSI 31,5" Curved WQHD 165Hz 350€) [Werbung]
    •  /