GnuTLS lukker alvorligt sikkerhedshul

Artiklen blev oprindeligt publiceret den 4/6/2014

Udviklerne af GnuTLS har lukket et sikkerhedshul, der giver servere mulighed for at angribe klienter, som kobler sig til dem via TLS.

GnuTLS er en implementering af krypteringsprotokollerne SSL (Secure Sockets Layer) og TLS (Transport Layer Security). Der er en sårbarhed i form af et bufferoverløb i kommunikationen mellem klient og server.

En angriber kan udnytte sårbarheden, hvis offeret forbinder sin computer til angriberens server. Så kan processen hos klienten gå ned. Muligvis kan en angriber også udnytte sårbarheden til at køre skadelige programmer på klienten.

En række Linux-programmer anvender GnuTLS til krypteret kommunikation.

Fejlen er rettet i GnuTLS 3.1.25, 3.2.15 og 3.3.4.

Anbefaling
Opdater til en rettet version af GnuTLS.

Links

• Move over Heartbleed - here comes another SSL/TLS bug, blogindlæg fra Sophos
• Technical Analysis Of The GnuTLS Hello Vulnerability, blogindlæg fra Radare
• GnuTLS Security Advisories
• GnuTLS Crypto Library Vulnerability CVE-2014-3466, blogindlæg fra Tripwire