Z otwartej biblioteki GnuTLS usunięto groźną dziurę

W bibliotece kryptograficznej GnuTLS zlikwidowano poważną dziurę (nadając jej nazwę CVE-2014-3466), która zagrażała bezpieczeństwu linuksowych klientów TLS oraz mogła być wykorzystywana przez hakerów do uruchamiania na przejętych przez nich komputerach szkodliwego oprogramowania.

Nowe pakiety, wolne od tej dziury, zostały udostępnione pod koniec maja br. i są oznaczone symbolami GnuTLS 3.3.3, GnuTLS 3.2.15 i GnuTLS 3.1.25. W tym samym czasie pojawił się nowy pakiet oznaczony GnuTLS 3.3.4, likwidujący inny problem, nie związany z bezpieczeństwem.

W skład GnuTLS wchodzą otwarte (oprogramowanie open-source) implementacje takich protokołów, jak SSL (Secure Sockets Layer), TLS (Transport Layer Security) i DTLS (Datagram Transport Layer Security), używanych do szyfrowania pakietów przesyłanych przez Internet.

Zobacz również:

  • IDC CIO Summit – potencjał drzemiący w algorytmach

Biblioteka GnuTLS nie jest co prawda tak popularna, jak biblioteka OpenSSL, ale jest dalej wykorzystywana przez wiele produktów. Jest np. dołączana do różnych linuksowych dystrybucji, takich jak Red Hat, Ubuntu i Debian. Z usług tej biblioteki korzysta też ok. 200 różnych programów linuksowych.

Twórcy łaty likwidującej dziurę informują, jak była ona wykorzystywana. Atak polegał na tym, że podczas fazy, w której strony uzgadniają między sobą warunki sesji SSL/TLS (handshake), serwer wysyła do klienta specjalnie spreparowaną na tę okoliczność wartość ID. Haker może wtedy przejąć kontrolę nad klientem i zainstalować w jego pamięci malware.

Dziura został jakiś czas temu wykryta przez informatyka pracującego w firmie Codenomicon (Joonas Kuorilehto). Wcześniej w tym roku informatycy z tej samej firmy zidentyfikowali inny groźny malware atakujący oprogramowanie OpenSSL: Heartbleed.

Na koniec warto przypomnieć, że w marcu tego roku wykryto i następnie zlikwidowano inną groźną dziurę znajdującą się w oprogramowaniu GnuTLS. Włamywacz mógł dzięki niej wysyłać do serwerów WWW specjalnie spreparowane, fałszywe certyfikaty SSL, które były przez ten serwer akceptowane jako prawdziwe.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200