přejít na obsah přejít na navigaci

Linux E X P R E S, Další významná bezpečnostní chyba, tentokrát v GnuTLS

Sophos

Další významná bezpečnostní chyba, tentokrát v GnuTLS

Hrozba

Čerstvě objevená bezpečnostní chyba se týká knihovny GnuTLS, která hraje obdobnou roli jako OpenSSL, byť se používá u menšího počtu aplikací. Vzdálený útočník může vyvolat přetečení bufferu a způsobit tak pád aplikace nebo případně i spustit vlastní kód.


Po relativně nedávném objevení chyby Heartbleed v knihovně OpenSSL je tu další chyba v šifrovací knihovně, byť s podstatně menšími dopady do běžného života. Tou je tentokrát GnuTLS, tedy knihovna plnící obdobné funkce jako OpenSSL, i když je v praxi používána výrazně méně (ovšem například webový server Apache ji může používat prakticky rovnocenně s OpenSSL). Chybu objevil tým z firmy Codenomicon, který byl i jedním z objevitelů chyby Heartbleed.

Není to tak dávno, co byla při auditu GnuTLS nalezena jiná zranitelnost – kvůli špatnému ošetření chybových stavů mohl být nedůvěryhodný certifikát považován za důvěryhodný.

Chyba se týká jen klientské strany (kde se ale GnuTLS používá poměrně zřídka), pro její zneužití se tedy musí aplikace prostřednictvím GnuTLS připojit k serveru ovládanému útočníkem. Odešle-li serverová strana příliš dlouhý identifikátor session, může způsobit přetečení bufferu. Aplikace může následkem toho havarovat, případně se může útočníkovi povést spustit si vlastní kód.

Nahoru

Přidat téma diskuse

Nejsou podporovány žádné značky, komentáře jsou jen čistě textové. Více o diskuzích a pravidlech najdete v nápovědě.
Diskuzi můžete sledovat pomocí RSS kanálu rss



 
 

Top články z OpenOffice.cz

Lukáš Jelínek

Lukáš Jelínek

Dlouholetý člen autorského týmu LinuxEXPRESu a OpenOffice.cz. Vystudoval FEL ČVUT v oboru Výpočetní technika. Žije v Kutné Hoře, podniká v oblasti IT a zároveň pracuje v týmu projektu Turris. Ve volném čase rád fotografuje, natáčí a stříhá video, občas se věnuje powerkitingu a na prahu čtyřicítky začal hrát tenis.


  • Distribuce: Debian, Kubuntu, Linux Mint
  • Grafické prostředí: KDE

| proč linux | blog



Public Relations

Digitalizace pomáhá rozvíjet miliardový byznys Prusa Research

SophosSpolečnost Sophos, dodavatel řešení kybernetického zabezpečení nové generace, připravila sérii odborných interaktivních webinářů, na kterých ve dnech 21. - 24. června nahlédnete za oponu simulovaného lovu hrozeb.

Pokračování ...


VMware_Intel

Public Relations

Panasonic představuje nejucelenější řadu 4K projektorů a displejů

PanasonicSpolečnost Panasonic před­sta­vi­la na ve­le­tr­hu ISE 2021 nové pro­jek­to­ry a dis­ple­je a na­bíd­la tak nej­u­ce­le­něj­ší řadu 4K zo­bra­zo­va­cích ře­še­ní, která us­po­ko­jí ro­s­tou­cí pop­táv­ku po str­hu­jí­cím di­vác­kém zá­žit­ku.

Pokračování ...


Redakční blog

Pavel Fric

Pavel Fric, 10. April

Zapojte se do tvorby distribuce Mageia

Podílejte se na vytváření balíčků pro Mageiu, dělejte, co je potřeba, staňte se baličem


Pavel Fric

Pavel Fric, 13. March

Lollypop

Lollypop je hudební přehrávač navržený, jak ukazuje jeho podoba, aby výborně zapadl do pracovního...


Pavel Fric

Pavel Fric, 26. February

QElectroTech

Kreslení elektrotechnických i jiných výkresů


Všechny blogy »

Sophos