Neue kritische Lücke in freier Kryptobibliothek GnuTLS

5. Juni 2014, 14:40
posten

Kann ausgenutzt werden, um unter Umständen Schadcode einzuschmuggeln - Neue Versionen verfügbar

Mit einer Reihe von Updates beheben die EntwicklerInnen der freien Kryptobibliothek GnuTLS eine kritische Lücke in der Software. Mittels des Sendens einer überlangen Session ID bei der Initiierung einer TLS/SSL-Verbindung konnte ein Pufferüberlauf provoziert werden. In Folge war es möglich einen Absturz am Client zu provozieren und unter Umständen auch Schadcode einzuschmuggeln.

Update

Derzeit gibt es keine Anzeichen dafür, dass die Lücke aktiv ausgenutzt wird. Trotzdem empfiehlt sich angesichts der Schwere der Lücke ein rasches Update. Zu diesem Zweck hat das Projekt bereits vor einigen Tagen die Versionen 3.1.25, 3.2.15, und 3.3.4 zur Verfügung gestellt. GnuTLS nimmt vor allem in Linux-Distributionen eine prominente Rolle ein, wodurch auch zahlreiche Server betroffen sein dürften.

Vorgeschichte

Bereits Anfang März hatte eine schwere Lücke in GnuTLS für einiges Aufsehen gesorgt, durch den zentrale Sicherheitschecks bei der Überprüfung von Sicherheitszertifikaten nie durchgeführt wurden. (red, derStandard.at, 5.6.2014)

Share if you care.