DoS-Schwachstelle in GNU-SSL/TLS-Implementierung

Fehlerhafte Zertifikate können zum Absturz einer Anwendung führen, die die fehlerhafte ASN.1-Bibliothek verwendet, etwa der Gnu-TLS-Server.

In Pocket speichern vorlesen Druckansicht 71 Kommentare lesen
Lesezeit: 1 Min.
Von
  • Daniel Bachfeld

Die Free Software Foundation weist auf neue Versionen von GnuTLS und der Bibliothek libtasn.1 hin, in der mehrere DoS-Schwachstellen geschlossen wurden. GnuTLS ist eine SSL/TLS-Implementierung, die im Unterschied zu OpenSSL unter der GPL steht. Die Fehler finden sich in den Decoder-Funktionen zum Auswerten von Zertifikaten im DER-Format in libtasn1 vor 0.2.18, GnuTLS vor 1.2.10 und der Entwicklerversion vor 1.3.4.

Fehlerhafte Zertifikate können zum Absturz der Anwendungen führen, die die fehlerhafte Bibliothek verwenden, etwa der Gnu-TLS-Server. Daneben gibt es aber unter Linux zahlreiche weitere Anwendungen, die darauf zurückgreifen. Für einen erfolgreichen Angriff über eine Netzwerk muss ein Server Zertifikate von außen entgegennehmen, beispielsweise bei bidirektionaler Authentifizierung für HTTP oder IMAP. Auch die freie Kerberos-Implementierung GNU Sishi nutzt libtasn.1 zur Verarbeitung von Kerberos-Paketen.

Siehe dazu auch: (dab)