GnuTLS lukker sikkerhedshul

Artiklen blev oprindeligt publiceret den 5/3/2014

GnuTLS har lukket et sikkerhedshul i behandlingen af certifikater.

Certifikater bruges til at garantere, at en browser kommunikerer med den rigtige server, når den anvender krypteret kommunikation via SSL eller TLS. Sårbarheden gør det muligt at udarbejde et certifikat på en måde, så det sniger sig uden om godkendelsesproceduren i GnuTLS-modulet.

I teorien kan sårbarheden dermed udnyttes til man-in-the-middle-angreb, hvor angriberen narrer offeret til at tro, at det kommunikerer med en anden server, end det er tilfældet.

Fejlen er rettet i GnuTLS 3.2.12 og 3.1.22. Der er også kommet en patch til version 2.12.x.

GnuTLS er et sæt funktioner til krypteret kommunikation, som en række applikationer og operativsystemer anvender. Selvom man ikke direkte anvender GnuTLS, kan ens applikationer derfor godt være sårbare.

Anbefaling
Opdater til en rettet version.

Links

• GNUTLS-SA-2014-2, CVE-2014-0092: Certificate verification issue
• Important: gnutls security update, information fra Red Hat
• Critical crypto bug leaves Linux, hundreds of apps open to eavesdropping