Die Free Software Foundation weist
auf neue Versionen von GnuTLS
und der Bibliothek libtasn.1 hin. Darin wurden mehrere DoS-Schwachstellen
geschlossen. GnuTLS ist eine SSL/TLS-Implementierung, die im Unterschied
zu OpenSSL unter der GPL steht. Die Fehler finden beim Auswerten
von Zertifikaten im DER-Format in libtasn1 vor 0.2.18, GnuTLS vor
1.2.10 und der Entwicklerversion vor 1.3.4.
Fehlerhafte Zertifikate können zum Absturz der Anwendungen
führen, die die fehlerhafte Bibliothek verwenden. Für einen erfolgreichen
Angriff über eine Netzwerk muss ein Server Zertifikate von außen
entgegennehmen, zum Beispiel bei bidirektionaler Authentifizierung
für HTTP oder IMAP. Auch die freie Kerberos-Implementierung GNU
Sishi nutzt libtasn.1.
(rb, hannover)
(siehe auch Heise
News-Ticker:)
Hannover · EDV-Beratung ·
Linux · Novell · Microsoft · Seminar ·
IT-Consult · Netzwerk · LPIC · CLE
|