Crypto-Bibliothek GnuTLS ist ohne Patch risikobehaftet

Die Serie von aufgefundenen Sicherheitslücken in freier Software reißt nicht ab. Nach Heartbleed ist mit GnuTLS eine weitere Komponente aus der grundlegenden Infrastruktur des Internets betroffen. Die mittlerweile per Patch geschlossene Lücke in GnuTLS erlaubt Malware-Attacken.

Die Crypto-Bibliothek GnuTLS, die als freie Implementierung von SSL-, TLS- und DTLS-Protokollen als Ersatz für OpenSSL dienen kann, ist beim Aufbau verschlüsselter HTTPS-Verbindungen durch Drive-by-Attacken angreifbar. Das geht aus einem Bugreport von Red Hat vom 28. Mai hervor. Der Fehler wurde bereits vor 13 Jahren bei der Implementierung des GnuTLS-Handshakes eingeführt, allerdings ist bisher kein Fall eines Exploits bekannt.

Die unter CVE-2014-3466 katalogisierte Lücke beruht auf einer nicht ausreichenden Kontrolle der Länge der Session-ID in der Funktion _gnutls_read_server_hello( ) beim TLS/SSL-Handshake während des Aufbaus einer Verbindung. Der Server eines Angreifers kann in einem TLS/SSL-Client, der GnuTLS einsetzt, durch Setzen einer exzessiv langen Session-ID einen Pufferüberlauf herbeiführen. Dadurch kann die Software zum Absturz gebracht und beliebiger Code eingeschleust und ausgeführt werden.

Der Fehler wurde in den Versionen GnuTLS 3.1.25, 3.2.15 und 3.3.4 behoben. Anwender sind angehalten, die Pakete ihrer jeweiligen Distribution auf den neuesten Stand zu bringen, da mit Bekanntwerden der Lücke die Gefahr einer Ausnutzung rapide ansteigt.