Dedies-Board | Druckvorschau: DoS-Schwachstelle in GNU-SSL/TLS-Implementierung

Dedies-Board (https://www.dedies-board.de/wbb2/index.php)
- Linux (https://www.dedies-board.de/wbb2/board.php?boardid=30)
--- News (https://www.dedies-board.de/wbb2/board.php?boardid=31)
---- Linux Newsarchiv (https://www.dedies-board.de/wbb2/board.php?boardid=40)
----- DoS-Schwachstelle in GNU-SSL/TLS-Implementierung (https://www.dedies-board.de/wbb2/thread.php?threadid=1219)

Geschrieben von dedie am 10.02.2006 um 13:02:

DoS-Schwachstelle in GNU-SSL/TLS-Implementierung

Die Free Software Foundation weist auf neue Versionen von GnuTLS und der Bibliothek libtasn.1 hin, in der mehrere DoS-Schwachstellen geschlossen wurden. GnuTLS ist eine SSL/TLS-Implementierung, die im Unterschied zu OpenSSL unter der GPL steht. Die Fehler finden sich in den Decoder-Funktionen zum Auswerten von Zertifikaten im DER-Format in libtasn1 vor 0.2.18, GnuTLS vor 1.2.10 und der Entwicklerversion vor 1.3.4.

Fehlerhafte Zertifikate können zum Absturz der Anwendungen führen, die die fehlerhafte Bibliothek verwenden, etwa der Gnu-TLS-Server. Daneben gibt es aber unter Linux zahlreiche weitere Anwendungen, die darauf zurückgreifen. Für einen erfolgreichen Angriff über eine Netzwerk muss ein Server Zertifikate von außen entgegennehmen, beispielsweise bei bidirektionaler Authentifizierung für HTTP oder IMAP. Auch die freie Kerberos-Implementierung GNU Sishi nutzt libtasn.1 zur Verarbeitung von Kerberos-Paketen.

QUELLE