Patch schließt Sicherheitslücke in GnuTLS
Die Sicherheitsfirma Codenomicon, hat eine schwerwiegende Sicherheitslücke in GnuTLS gefunden. Ein Angreifer könnte die als CVE-2014-3466 bezeichnete Schwachstelle in der Verschlüsselungs-Bibliothek ausnutzen, um Schadcode einzuschleusen und auf einem GnuTLS-Client auszuführen.
Wie Computerworld berichtet, liegt inzwischen ein Patch vor. Er steht für GnuTLS 3.3.3, GnuTLS 3.2.15 und GnuTLS 3.1.25 zur Verfügung. Ein anschließend veröffentlichtes Update auf die Version GnuTLS 3.3.4 beseitigt zudem einen nicht sicherheitsrelevanten Fehler in der Hardwarebeschleunigung.
Einem Eintrag im Red Hat Bug Tracker zufolge kann die Schwachstelle durch den Versand einer sehr langen Session-ID während des SSL/TLS-Handshake ausgenutzt werden. Das kann zu einem Absturz des Clients führen und unter Umständen auch eine Remotecodeausführung erlauben. Red Hat stuft den Fehler als sehr ernst ein.
GnuTLS ist eine Open-Source-Implementierung der Protokolle Secure Socket Layer (SSL), Transport Layer Security (TLS) und Datagram Transport Layer Security (DTLS). Die Software-Bibliothek kommt bei der Verschlüsselung von Kommunikation im Internet zum Einsatz. Sie ist zwar nicht so weit verbreitet wie OpenSSL, findet sich aber in zahlreichen Linux-Distributionen, darunter Red Hat, Ubuntu und Debian und spielt dort eine wichtige Rolle.
[mit Material von Stefan Beiersmann, ZDNet.de]
Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de