Linux: Kritische Lücke macht Abhören möglich

[Christoph]

Zitat:

Eine kritische Lücke in der Verschlüsselung von Linux macht Distributionen wie Ubuntu, Debian oder Red Hat nicht mehr abhörsicher. Der Fehler liegt in der GnuTLS Library, einem Open-Source-Projekt, das Verschlüsselungs-Mechanismen wie SSL und TLS in Linux implementiert. Er erlaubt Angreifern, die Autorisierung zu umgehen und die Kommunikation des Systems abzuhören.

In einem Advisory des Open-Source-Projekts ist zu lesen, dass die Lücke während eines Audits von GnuTLS für Red Hat entdeckt wurde und die Funktion betrifft, über die Zertifikate verifiziert werden. Ein vom Angreifer speziell angefertigtes Zertifikat kann die Validierungskontrolle umgehen. Das Projekt hat bereits ein Update der letzten Versionen von GnuTLS 3.2 und 3.1 sowie ein Patch von Version 2.12 herausgegeben.

"goto fail" lässt grüßen

Laut dem US-Blog Ars Technica könnten mehr als 200 Betriebssystem-Versionen und Anwendungen von der Lücke betroffen sein. Der Fehler ist ähnlich dem von Apples "goto fail", der letzte Woche für Wirbel gesorgt hatte und bei Apple ein eiliges Patchen von Mac OS und iOS notwendig machte. (mo)

Quelle: http://business.chip.de/news/Linux-K..._68378195.html