přejít na obsah přejít na navigaci

Linux E X P R E S, Další významná bezpečnostní chyba, tentokrát v GnuTLS

Další významná bezpečnostní chyba, tentokrát v GnuTLS

Hrozba

Čerstvě objevená bezpečnostní chyba se týká knihovny GnuTLS, která hraje obdobnou roli jako OpenSSL, byť se používá u menšího počtu aplikací. Vzdálený útočník může vyvolat přetečení bufferu a způsobit tak pád aplikace nebo případně i spustit vlastní kód.


Po relativně nedávném objevení chyby Heartbleed v knihovně OpenSSL je tu další chyba v šifrovací knihovně, byť s podstatně menšími dopady do běžného života. Tou je tentokrát GnuTLS, tedy knihovna plnící obdobné funkce jako OpenSSL, i když je v praxi používána výrazně méně (ovšem například webový server Apache ji může používat prakticky rovnocenně s OpenSSL). Chybu objevil tým z firmy Codenomicon, který byl i jedním z objevitelů chyby Heartbleed.

Není to tak dávno, co byla při auditu GnuTLS nalezena jiná zranitelnost – kvůli špatnému ošetření chybových stavů mohl být nedůvěryhodný certifikát považován za důvěryhodný.

Chyba se týká jen klientské strany (kde se ale GnuTLS používá poměrně zřídka), pro její zneužití se tedy musí aplikace prostřednictvím GnuTLS připojit k serveru ovládanému útočníkem. Odešle-li serverová strana příliš dlouhý identifikátor session, může způsobit přetečení bufferu. Aplikace může následkem toho havarovat, případně se může útočníkovi povést spustit si vlastní kód.

Nahoru

Přidat téma diskuse

Nejsou podporovány žádné značky, komentáře jsou jen čistě textové. Více o diskuzích a pravidlech najdete v nápovědě.
Diskuzi můžete sledovat pomocí RSS kanálu rss



 
 

Top články z OpenOffice.cz