Massives Sicherheitsproblem in GnuTLS erlaubt Mitlesen von Kommunikation
Ein Fehler bei der Umsetzung der TLS-Verschlüsselung gefährdet deren Sicherheit, wenn die Bibliothek GnuTLS zum Einsatz kommt.
In bestimmten Szenarien setzt GnuTLS Schlüssel auf Null. Das führt dazu, dass sich bei TLS 1.2 aufgezeichnete Sitzungsdaten nachträglich entschlüsseln lassen. Beim aktuellen TLS 1.3 könnte sich ein Man-in-the-Middle in die Verbindung einklinken, um Daten mitzulesen.
Der Fehler ist äußerst schwerwiegend; Googles Krypto-Spezialist Filippo Valsorda stuft ihn als "deutlich schlimmer als Heartbleed" ein. Er betrifft die Wiederaufnahme von TLS-Sessions mit sogenannten Session-Tickets, in denen Schlüsselmaterial gespeichert ist. GnuTLS verschlimmbesserte diese, indem sie dort eine Schlüssel-Rotation hinzufügten und das verbockten. Denn durch einen Fehler führte das zu den Null-Schlüsseln.
Zwei Jahre unentdeckt
Dieser Fehler (CVE-2020-13777) betrifft alle GnuTLS-Versionen seit 3.6.4, das bereits 2018 veröffentlicht wurde; erst GnuTLS 3.6.14 beseitigt ihn. Die Entwickler empfehlen ein schnelles Upgrade. Ein wenig entschärft wird die Situation lediglich dadurch, dass standardmäßig nicht viele Programme die Bibliothek GnuTLS standardmäßig benutzen. Die prominentesten dürften Exim und Dovecot auf Debian sein. Wer also Debian einsetzt, sollte sein System schleunigst checken.
Entdeckt hatte den Fehler Fiona Klute, die das Apache-Modul von GnuTLS betreut. Sie hatte es ursprünglich nur auf TLS 1.3 bezogen, das bisher nur wenig Verbreitung gefunden hat und einen aktiven MITM-Angriff erfordert. Erst später stellt sich heraus, dass auch das viel weiter verbreitete TLS 1.2 betroffen ist und sich dabei sogar Daten nachträglich entschlüsseln lassen, ohne die Verbindung zu manipulieren. (ju)
