image

Google-onderzoeker vindt ernstig beveiligingslek in GnuTLS

woensdag 27 maart 2019, 13:58 door Redactie, 2 reacties

Google-onderzoekers Tavis Ormandy heeft een ernstig beveiligingslek in GnuTLS gevonden, een vrije software-implementatie van de tls-, ssl- en dtls-protocollen. GnuTLS is een softwarebibliotheek waarmee andere programma's beveiligde verbindingen kunnen opzetten.

De kwetsbare code zou sinds januari 2017 in de software aanwezig zijn. Destijds was er via een fuzzer een klein geheugenlek in GnuTLS ontdekt. Bij fuzzing wordt een programma of een stuk software met allerlei datastromen bestookt, wat vervolgens tot crashes of fouten kan leiden. Die crashes kunnen vervolgens op onbekende beveiligingslekken wijzen.

De manier waarop het kleine geheugenlek werd opgelost zorgde echter voor een veel groter beveiligingslek waardoor een aanvaller kwetsbare systemen had kunnen overnemen, aldus Ormandy. Zowel clients als servers die GnuTLS gebruiken om X.509-certificaten te controleren zouden via een kwaadaardige server of man-in-the-middle-aanval kunnen worden gecompromitteerd.

Ormandy informeerde de ontwikkelaars van GnuTLS op 5 februari. Vandaag is GnuTLS 3.6.7 verschenen waarin het probleem is opgelost.

Reacties (2)
27-03-2019, 14:07 door Anoniem
Maar gelukkig heeft Google ondertussen ook alle Android telefoons en tablets van malware geschoond en een security updated versie gepushed naar all Android gebruikers.
27-03-2019, 16:23 door Anoniem
Door Anoniem: Maar gelukkig heeft Google ondertussen ook alle Android telefoons en tablets van malware geschoond en een security updated versie gepushed naar all Android gebruikers.

Dat mag ook wel eens gezegd worden!

Maar wat dit met GnuTLS te maken heeft, weet ik niet.

Peter
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.