Linux: Vážna zraniteľnosť GnuTLS v overovaní certifikátu (CVE-2014-0092)

04.03.2014 | 22:21 | dodoedo | Novinky

RedHat tím počas bezpečnostného auditu objavil vážnu zraniteľnosť GnuTLS pri overovaní certifikátu (CVE-2014-0092). Bolo zistené, že GnuTLS nesprávne spracovával určité chyby, ktoré by mohli nastať počas overenia osvedčenia X.509, a takto to zle hlásiť ako úspešné overenie osvedčenia. Útočník by túto chybu mohol použiť na vytvorenie špeciálneho certifikátu. Tento by potom mohol byť (podľa GnuTLS) prijatý ako platný, pre útočníkom zvolené miesto. V širších súvislostiach zraniteľnosť ovplyvňuje aj iný kód v Linuxe, závislý na kóde GnuTLS. Update správy: táto chyba opravená, pre informáciu pozri popis bugu vo lib/x509/verify.c, a čo z toho vyplýva pre písanie kódu v C. Update správy 2: kód GnuTLS bol v tomto príspevku z 16. februára 2008, označovaný za škodlivý, a autor priamo vystríha pred jeho používaním ...