GnuTLS-Entwicker patchen Schwachstelle in Zertifikatsverarbeitung
Durch einen Fehler in der Überprüfung von X.509-Zertifikaten werden Namen in Zertifikaten nicht richtig geprüft. Ein Server könnte damit gegenüber Clients eine andere Identität vortäuschen.
Die Entwickler von GnuTLS, einer freien Implementierung des "Transport Layer Security"-Protokolls (TLS) haben das Sicherheits- und Maintance-Update 2.6.1 veröffentlicht, das mehrere Probleme aus der Welt schaffen soll. Dazu gehören ein Fehler in der Überprüfung von X.509-Zertifikaten, durch den ein Client Namen in Zertifikaten nicht richtig prüft und beliebige akzeptiert. Ein Server könnte damit eine andere Identität vortäuschen.
Der Fehler soll seit Version 1.2.4 in GnuTLS stecken. Um ihn auszunutzen, sind aber laut Bericht weitere Schritte wie DNS-Spoofing nötig. Martin von Gagern hat eine detaillierte Beschreibung zu dem Fehler veröffentlicht. Zu den nicht sicherheitsrelevanten Problemen gehörten etwa die Verwechslung von Subject DN und Issuer DN in einer Funktion.
Siehe dazu auch
- GnuTLS 2.6.1-Security release, Fehlerbericht zu GnuTLS
(dab)
