přejít na obsah přejít na navigaci

Linux E X P R E S, Další významná bezpečnostní chyba, tentokrát v GnuTLS

Další významná bezpečnostní chyba, tentokrát v GnuTLS

Hrozba

Čerstvě objevená bezpečnostní chyba se týká knihovny GnuTLS, která hraje obdobnou roli jako OpenSSL, byť se používá u menšího počtu aplikací. Vzdálený útočník může vyvolat přetečení bufferu a způsobit tak pád aplikace nebo případně i spustit vlastní kód.


reklama

Po relativně nedávném objevení chyby Heartbleed v knihovně OpenSSL je tu další chyba v šifrovací knihovně, byť s podstatně menšími dopady do běžného života. Tou je tentokrát GnuTLS, tedy knihovna plnící obdobné funkce jako OpenSSL, i když je v praxi používána výrazně méně (ovšem například webový server Apache ji může používat prakticky rovnocenně s OpenSSL). Chybu objevil tým z firmy Codenomicon, který byl i jedním z objevitelů chyby Heartbleed.

Není to tak dávno, co byla při auditu GnuTLS nalezena jiná zranitelnost – kvůli špatnému ošetření chybových stavů mohl být nedůvěryhodný certifikát považován za důvěryhodný.

Chyba se týká jen klientské strany (kde se ale GnuTLS používá poměrně zřídka), pro její zneužití se tedy musí aplikace prostřednictvím GnuTLS připojit k serveru ovládanému útočníkem. Odešle-li serverová strana příliš dlouhý identifikátor session, může způsobit přetečení bufferu. Aplikace může následkem toho havarovat, případně se může útočníkovi povést spustit si vlastní kód.

Nahoru

(Jako ve škole)
Průměr: 1,60 | Hodnotilo: 5
 

Top články z OpenOffice.cz

Přidat téma diskuse

Nejsou podporovány žádné značky, komentáře jsou jen čistě textové. Více o diskuzích a pravidlech najdete v nápovědě.
Diskuzi můžete sledovat pomocí RSS kanálu rss



 
 

Lukáš Jelínek

Lukáš Jelínek

Šéfredaktor LinuxEXPRESu a OpenOffice.cz. Vystudoval FEL ČVUT v oboru Výpočetní technika. Žije v Kutné Hoře a podniká v oblasti informačních technologií. Ve volném čase rád fotografuje, natáčí a stříhá video a také se věnuje (v Čechách poměrně málo známému) powerkitingu.


  • Distribuce: Debian, Kubuntu
  • Grafické prostředí: KDE
  • Hodnocení autora: ***

| proč linux | blog



Public Relations

QNAP uvedl novou modelovou řadu NAS TVS-x82T

Společnost QNAP uvedla na trh novou modelovou řadu NAS TVS-x82T, kterou tvoří tři různé modely (TVS-1282T, TVS-882T a TVS-682T). Nová řada je založena na vícejádrových procesorech Intel Core aktuální generace se 14nm výrobním procesem. Díky nim mohou nové NASy nabídnout dostatek výkonu i pro aplikace náročné na CPU.

Pokračování ...


CIO Agenda 2016