GnuTLS库中的严重缺陷危及SSL客户端和系统

GnuTLS库中修补的漏洞可能被恶意服务器利用来在计算机上执行恶意软件

流行的GnuTLS密码库中修复了一个严重漏洞,该漏洞可能被利用来破坏TLS客户端并可能在底层系统上执行恶意代码。

内存损坏漏洞(跟踪为CVE-2014-3466)已在星期五发布的GnuTLS 3.3.3,GnuTLS 3.2.15和GnuTLS 3.1.25中修复。从那时起,GnuTLS开发人员还发布了GnuTLS 3.3.4,以修复与安全无关的硬件加速错误。

GnuTLS是SSL(安全套接字层),TLS(传输层安全性)和DTLS(数据报传输层安全性)协议的开源实现,用于加密Internet上的通信。

尽管不如OpenSSL库流行,但GnuTLS仍被广泛使用,默认情况下随各种Linux发行版一起提供,包括Red Hat,Ubuntu和Debian。 SSL / TLS支持也依赖于200多个Linux软件包。

据一个 Red Hat Bug Tracker上的条目,恶意服务器可以通过在SSL / TLS握手期间发送一个很长的会话ID值来利用新修补的漏洞。这可能会使使用GnuTLS的客户端崩溃,并可能使攻击者可以在系统上执行任意代码。 Red Hat将该问题标记为高度优先和严重。

Codenomicon的首席系统工程师Joonas Kuorilehto报告了此漏洞。同一家公司的研究人员还发现 OpenSSL中严重的Heartbleed缺陷 今年早些时候,促使对SSL / TLS服务器和客户端进行全球修补的努力。

3月,GnuTLS开发人员 修复了另一个漏洞 这可能使攻击者可以为自己选择的网站制作恶意SSL证书,而该网站可能已被库接受为有效。

版权© 2014 IDG通讯,Inc.