Die Free Software Foundation weist auf neue Versionen von GnuTLS und der Bibliothek libtasn.1 hin. Darin wurden mehrere DoS-Schwachstellen geschlossen. GnuTLS ist eine SSL/TLS-Implementierung, die im Unterschied zu OpenSSL unter der GPL steht. Die Fehler finden beim Auswerten von Zertifikaten im DER-Format in libtasn1 vor 0.2.18, GnuTLS vor 1.2.10 und der Entwicklerversion vor 1.3.4.

Fehlerhafte Zertifikate können zum Absturz der Anwendungen führen, die die fehlerhafte Bibliothek verwenden. Für einen erfolgreichen Angriff über eine Netzwerk muss ein Server Zertifikate von außen entgegennehmen, zum Beispiel bei bidirektionaler Authentifizierung für HTTP oder IMAP. Auch die freie Kerberos-Implementierung GNU Sishi nutzt libtasn.1.

(rb, hannover)

(siehe auch Heise News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE