OpenSSL-Alternative GnuTLS flickt weiteren kritischen Bug
Verbindet sich ein Client, der GnuTLS nutzt, mit dem Server eines Angreifers, kann dieser unter Umständen beliebigen Code auf dem Rechner des Besuchers ausführen. Nutzer von GnuTLS sollten die Software so schnell wie möglich updaten.
- Fabian A. Scherschel
Wer nach Heartbleed glaubte, dass GnuTLS weniger buggy sei als OpenSSL, der wird jetzt eine besseren belehrt. Nach dem "goto fail"-Bug Anfang März haben die Entwickler jetzt ein weitere Lücke (CVE-2014-3466) geschlossen, mit der ein SSL-Server potenziell beliebigen Code auf einem Client ausführen kann. Diesmal steckt der Teufel in der ServerHello-Funktion.
Mit einer langen Session-ID kann ein Server einen Pufferüberlauf auf dem Client auslösen – mit der Folge, dass üblicherweise das Programm abstürzt oder sogar beliebiger Code ausgeführt werden kann. Gefixt haben das die Entwickler mit den Versionen 3.1.25, 3.2.15 und 3.3.4 von GnuTLS. Entdeckt hat das Problem übrigens – wie auch schon den Heartbleed-Bug – ein Forscher bei Codenomicon.
GnuTLS wird unter anderem im E-Mail-Programm Exim und in der Desktop-Oberfläche Gnome 3 benutzt. Auch Wireshark-Nutzer können die Bibliothek verwenden, um HTTPS-Datenverkehr zu analysieren. (fab)
