Odkryto podatność w GnuTLS umożliwiającą atak MITM – powtórka z goto fail?

Wygląda na to, że być może po raz kolejny mamy podobną sytuację jak ze słynnym już bugiem 'goto fail’ w produktach Apple. Tym razem ofiarą jest biblioteka GnuTLS (problem został oznaczony z severity: high), a całość udało się zlokalizować podczas realizacji audytu bezpieczeństwa dla RedHat-a.

GnuTLS to jedna z bibliotek implementująca popularny protokół kryptograficzny TLS (będący następcą SSL), a sam oryginalny opis błędu nie wygląda zbyt optymistycznie:

It was discovered that GnuTLS X.509 certificate verification code failed to properly handle certain errors that can occur during the certificate verification. When such errors are encountered, GnuTLS would report successful verification of the certificate, even though verification should end with failure. A specially-crafted certificate can be accepted by GnuTLS as valid even if it wasn’t issued by any trusted Certificate Authority. This can be used to perform man-in-the-middle attacks against applications using GnuTLS.

Zapewne trzeba będzie jeszcze chwilę poczekać aby rozjaśnić nieco pojęcia ’certain errors’ oraz 'specially-crafted certificate’, w każdym razie, poza RedHat-em kolejne dystrybucje Linuksa – jak choćby debian – udostępniają już łaty.

Zainteresowanych tematyką bezpieczeństwa SSL /TLS odsyłam też do naszego mini opracowania dotyczącego podatności Lucky thirteen.

–ms