Hlavní navigace

Knihovna GnuTLS obsahovala kritickou chybu

Roman Bořánek

Po známé chybě Heartbleed v OpenSSL byla objevena obdobná chyba v konkurenční knihovně GnuTLS, která stejně jako OpenSSL slouží pro šifrované spojení prostřednictvím protokolů SSL a TLS. GnuTLS je rovněž obsaženo v drtivé většině linuxových distribucí, ale nepoužívá jej tak vysoké množství aplikací. Tato chyba byla stejně jako Heartbleed objevena pracovníky společnosti Codenomicon.

„Server pod kontrolou útočníka tento nedostatek může zneužít tak, že klientovi pošle nepřiměřeně dlouhé ID sezení, což v klientské aplikaci způsobí přetečení zásobníku. Tak docílí zhroucení aplikace nebo spuštění libovolného kódu,“ zní popis chyby. Už byly vydány záplatované verze GnuTLS 3.1.25, 3.2.15 a 3.3.4, které byly, nebo v nejbližší době budou doručeny uživatelům linuxových distribucí. V současnosti nejsou známy žádné případy zneužití chyby.

(Zdroje: Ars Technica, ZDNet)

Našli jste v článku chybu?