zurück zum Artikel

Fehlerhafte Zertifikate können zum Absturz einer Anwendung führen, die die fehlerhafte ASN.1-Bibliothek verwendet, etwa der Gnu-TLS-Server.

Die Free Software Foundation weist auf neue Versionen von GnuTLS [1] und der Bibliothek libtasn.1 hin, in der mehrere DoS-Schwachstellen geschlossen wurden. GnuTLS ist eine SSL/TLS-Implementierung, die im Unterschied zu OpenSSL unter der GPL steht. Die Fehler finden sich in den Decoder-Funktionen zum Auswerten von Zertifikaten im DER-Format in libtasn1 vor 0.2.18, GnuTLS vor 1.2.10 und der Entwicklerversion vor 1.3.4.

Fehlerhafte Zertifikate können zum Absturz der Anwendungen führen, die die fehlerhafte Bibliothek verwenden, etwa der Gnu-TLS-Server. Daneben gibt es aber unter Linux zahlreiche weitere Anwendungen, die darauf zurückgreifen. Für einen erfolgreichen Angriff über eine Netzwerk muss ein Server Zertifikate von außen entgegennehmen, beispielsweise bei bidirektionaler Authentifizierung für HTTP oder IMAP. Auch die freie Kerberos-Implementierung GNU Sishi [2] nutzt libtasn.1 zur Verarbeitung von Kerberos-Paketen.

Siehe dazu auch: (dab [3])

• Libtasn1 0.2.18 - Tiny ASN.1 Library - Security release [4], Ankündigung der Free Software Foundation

URL dieses Artikels:
https://www.heise.de/-174193

Links in diesem Artikel:
[1] http://www.gnu.org/software/gnutls/
[2] http://josefsson.org/shishi/
[3] mailto:dab@ct.de
[4] http://lists.gnupg.org/pipermail/gnutls-dev/2006-February/001058.html

Copyright © 2006 Heise Medien