přejít na obsah přejít na navigaci

Linux E X P R E S, Další významná bezpečnostní chyba, tentokrát v GnuTLS

Další významná bezpečnostní chyba, tentokrát v GnuTLS

Hrozba

Čerstvě objevená bezpečnostní chyba se týká knihovny GnuTLS, která hraje obdobnou roli jako OpenSSL, byť se používá u menšího počtu aplikací. Vzdálený útočník může vyvolat přetečení bufferu a způsobit tak pád aplikace nebo případně i spustit vlastní kód.


Po relativně nedávném objevení chyby Heartbleed v knihovně OpenSSL je tu další chyba v šifrovací knihovně, byť s podstatně menšími dopady do běžného života. Tou je tentokrát GnuTLS, tedy knihovna plnící obdobné funkce jako OpenSSL, i když je v praxi používána výrazně méně (ovšem například webový server Apache ji může používat prakticky rovnocenně s OpenSSL). Chybu objevil tým z firmy Codenomicon, který byl i jedním z objevitelů chyby Heartbleed.

Není to tak dávno, co byla při auditu GnuTLS nalezena jiná zranitelnost – kvůli špatnému ošetření chybových stavů mohl být nedůvěryhodný certifikát považován za důvěryhodný.

Chyba se týká jen klientské strany (kde se ale GnuTLS používá poměrně zřídka), pro její zneužití se tedy musí aplikace prostřednictvím GnuTLS připojit k serveru ovládanému útočníkem. Odešle-li serverová strana příliš dlouhý identifikátor session, může způsobit přetečení bufferu. Aplikace může následkem toho havarovat, případně se může útočníkovi povést spustit si vlastní kód.

Nahoru

Přidat téma diskuse

Nejsou podporovány žádné značky, komentáře jsou jen čistě textové. Více o diskuzích a pravidlech najdete v nápovědě.
Diskuzi můžete sledovat pomocí RSS kanálu rss



 
 

Top články z OpenOffice.cz

Lukáš Jelínek

Lukáš Jelínek

Dlouholetý člen autorského týmu LinuxEXPRESu a OpenOffice.cz. Vystudoval FEL ČVUT v oboru Výpočetní technika. Žije v Kutné Hoře, podniká v oblasti IT a zároveň pracuje v týmu projektu Turris. Ve volném čase rád fotografuje, natáčí a stříhá video, občas se věnuje powerkitingu a na prahu čtyřicítky začal hrát tenis.


  • Distribuce: Debian, Kubuntu, Linux Mint
  • Grafické prostředí: KDE

| proč linux | blog