Schlüssel genullt: GnuTLS sofort aktualisieren!

Neue Software, Treiber oder BIOS-Versionen findet ihr hier
[ News about software, drivers and bios can be found here ]
Antworten
Benutzeravatar
doelf
Moderator
Moderator
Beiträge: 36091
Registriert: 12 Feb 2004, 23:29
Wohnort: Alsdorf
Kontaktdaten:

Schlüssel genullt: GnuTLS sofort aktualisieren!

Beitrag von doelf »

GnuTLS, die "GNU Transport Layer Security Library", soll eigentlich für eine sichere Kommunikation sorgen. Doch seit der Version 3.6.4, die am 24. September 2018 veröffentlicht wurde, konnten Angreifer den Schlüssel nullen und damit die gesamte Verschlüsselung aushebeln (CVE-2020-13777). Behoben wurde der Fehler in GnuTLS 3.6.14.

Die Hintergründe: Bei GnuTLS 3.6.4 hatte eine Regression die Implementierung des TLS-Protokolls beschädigt. Aufgrund dieses Fehlers erstellte der TLS-Server keinen sicheren Schlüssel für das Sitzungsticket und nutzte für Ver- und Entschlüsselung bis zur ersten Schlüsselrotation ausschließlich Nullen. In der Protokollversion TLS 1.3 können Angreifer die Authentifizierung umgehen und fremde Sitzungen übernehmen. Bei TLS 1.2 ist es sogar möglich, gespeicherte Aufzeichnungen früherer Sitzungen nachträglich zu entschlüsseln - ein wahres Fest für staatliche und kriminelle Datensammler.

Bei GnuTLS handelt es sich um eine Alternative zu OpenSSL, welche zusätzliche Funktionen bietet und mit LGPLv2 eine andere Lizenz nutzt. GnuTLS lässt sich somit ohne weiteres in andere GPL-Projekte integrieren. OpenSSL war zunächst mit einer BSD-ähnlichen Lizenz gestartet und wurde erst mit der Version 3.0.0 unter eine Apache-2.0-Lizenz gestellt. Letztere ist kompatibel mit GPL 3, nicht aber mit GPL 1 und 2.

Download: GnuTLS 3.6.14

Quelle:
https://gitlab.com/gnutls/gnutls/-/issues/1011
. Tails . Linux . USB . CD . Secure Desktop . IRC . Truecrypt . Tor .

Antworten