SicherheitslĂĽcke: GnuTLS jetzt mit "goto fail"

Auch die Open-Source-Bibliothek fĂĽr gesicherte Verbindungen weist einen schwerwiegenden Fehler beim ĂśberprĂĽfen von Zertifikaten auf. Aktuelle Patches sollen ihn beheben.

In Pocket speichern vorlesen Druckansicht 268 Kommentare lesen
Lesezeit: 2 Min.

Im Rahmen einer Sicherheitsüberprüfung des Red Hat Security Teams wurde ein Problem bei der Überprüfung von Zertifikaten in GnuTLS aufgedeckt. Es kann unter Umständen dazu führen, dass ein Zertifikat fälschlich als korrekt bewertet wird. Aktuelle Versionen der Bibliothek und Patches für die älteren sollen den Fehler beheben.

Wie auch schon bei Apples "goto fail"-Problem, für das der Hersteller viel Häme einstecken musste, liegt die Ursache bei der Behandlung von Fehlerzuständen durch die sonst eigentlich verpönte Sprunganweisung "goto". So baut der Patch für GnuTLS 2.12 jetzt unter anderem Code-Zeilen mit goto fail; in die Prüfroutinen ein. Kein Wunder, dass der Entwickler Nikos Mavrogiannopoulos in seiner Ankündigung der neuen GnuTLS-Version von einem wichtigen und gleichzeitig peinlichen Fehler spricht. Das Sicherheits-Advisory GNUTLS-SA-2014-2 erklärt, dass jeder betroffen ist, der mit Hilfe von GnuTLS Zertifikate zum Zweck der Authentifizierung überprüft.

GnuTLS ist eine Open-Source-Bibliothek, die das häufiger für sichere Internet-Verbindungen mit Transport Layer Security verwendete OpenSSL ersetzen kann (TLS, früher SSL). Manche Projekte wie Apache setzen sie optional ein, andere wie der Mail-Server Exim sogar als Standard. In der Regel – also wenn das betreffende Programm nicht statisch gelinkt wurde – sollte es reichen, die installierte Bibliothek zu aktualisieren. In den Versionen 3.2.12 und 3.1.22 wurde der Fehler beseitigt; Distributionen wie Debian werden die Patches jedoch wie üblich in ihre aktuellen Versionen zurück portieren. (ju)