Odkryto podatność w GnuTLS umożliwiającą atak MITM – powtórka z goto fail?

04 marca 2014, 18:12 | W biegu | komentarze 3
: zin o bezpieczeństwie - pobierz w pdf/epub/mobi.

Wygląda na to, że być może po raz kolejny mamy podobną sytuację jak ze słynnym już bugiem ‚goto fail’ w produktach Apple. Tym razem ofiarą jest biblioteka GnuTLS (problem został oznaczony z severity: high), a całość udało się zlokalizować podczas realizacji audytu bezpieczeństwa dla RedHat-a.

GnuTLS to jedna z bibliotek implementująca popularny protokół kryptograficzny TLS (będący następcą SSL), a sam oryginalny opis błędu nie wygląda zbyt optymistycznie:

It was discovered that GnuTLS X.509 certificate verification code failed to properly handle certain errors that can occur during the certificate verification. When such errors are encountered, GnuTLS would report successful verification of the certificate, even though verification should end with failure. A specially-crafted certificate can be accepted by GnuTLS as valid even if it wasn’t issued by any trusted Certificate Authority. This can be used to perform man-in-the-middle attacks against applications using GnuTLS.

Zapewne trzeba będzie jeszcze chwilę poczekać aby rozjaśnić nieco pojęcia ‚certain errors‚ oraz ‚specially-crafted certificate‚, w każdym razie, poza RedHat-em kolejne dystrybucje Linuksa – jak choćby debian – udostępniają już łaty.

Zainteresowanych tematyką bezpieczeństwa SSL /TLS odsyłam też do naszego mini opracowania dotyczącego podatności Lucky thirteen.

 

–ms

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Jeśli tak, to powinny zacząć się masowe audyty kodu. Na początek na obecność powtórzonych linijek w okolicach „if” :)
    To i tak byłby wierzchołek góry lodowej w takim wypadku.

    Odpowiedz
    • Audyty kodu wielu programów oczywiście, nie jednego :)

      Odpowiedz
  2. Odpowiedz

Odpowiedz