En sårbarhet i GnuTLS gjør at biblioteket godtar visse forfalskede sikkerhetssertifikater. En sikkerhetsoppdatering som fjerner sårbarheten er dog tilgjengelig. (Bilde: PantherMedia/Hua Kiang Foong og GnuTLS)

Sårbarhet rammer svært bredt

Mye brukt bibliotek godtar falske sertifikater.

Det har blitt funnet en alvorlig sårbarhet i sikkerhetsbibilioteket GnuTLS som involverer programvarens validering av X.509-sertifikater. Sårbarheten ble nylig oppdaget av Red Hat. Ved hjelp av et spesielt utformet sertifikat vil en angriper kunne få GnuTLS til å akseptere sertifikatet som gyldig for et nettsted som angriperen selv har valgt.

Biblioteket implementerer flere sikre kommunikasjonsprotokoller, inkludert SSL og TLS. Det kan brukes sammen med både Windows og de fleste Unix-lignende systemer, ikke minst Linux. Svært mange, angivelig flere hundre, programvarepakker i vanlige Linux-distribusjoner bygger på GnuTL. Mange av pakkene tilbyr grunnleggende funksjonalitet i Linux.

Kunngjøringen fra Red Hat kom ble ikke utgitt før GnuTLS-prosjektet hadde gjort tilgjengelig sikkerhetsfikser. Disse er implementert i versjonene 3.2.12 og 3.1.22, men patchkode er tilgjengelig også for 2.12.x.

Red Hat har tilbudt sikkerhetsoppdateringen siden mandag. I hvilken grad også andre distributører og leverandører har begynt å gjøre det samme, må sjekkes hos hver enkelt aktør.

Til toppen