Få dage efter, at Apple måtte skynde sig at opdatere styresystemerne Mac OS X og iOS for at lukke et gabende hul i sikkerheden for netkommunikation, er den gal igen. Denne gang i Linux-verden, hvor et modul til at sikre SSL/TLS-kryptering på nettet også har været ramt af en alvorlig fejl. Det skriver Ars Technica.
Mere præcist er det biblioteket GnuTLS, der slet ikke har beskyttet godt nok mod, at andre kunne lytte med på kommunikationen over nettet. Kryptering med SSL/TLS er den mest udbredte metode til at kommunikere med for eksempel webbutikker eller webmailklienter.
Læs også: Apple retter SSL-sikkerhedshul i OS X
Apples fejl blev døbt ’goto-fejlen’ og fik alarmklokkerne til at ringe. Men denne fejl i GnuTLS bliver vurderet til at være mere alvorlig og bliver kaldt ’ekstremt kritisk’. Mange webservere kører nemlig på Linux og har brugt GnuTLS til at sikre kommunikationen.
De to fejl minder også lidt om hinanden, men hvor det i Apples styresystemer var en enkelt goto-kommando, der var gået helt galt, er problemet i GnuTLS mere komplekst og involverer en række ’goto cleanup’-kald.
Fejlen betød, at hackere relativt nemt kunne lave et falsk certifikat og få det godkendt som legitimt. Dermed kunne hackere med et man-in-the-middle-angreb lytte med på trafikken ukrypteret.
Konsekvenserne af sikkerhedshullet er endnu ikke klarlagt, for måske har fejlen været der siden 2005, og potentielt kunne det bruges til mange slags angreb. Linux-distributioner som Ubuntu, Debian og Red Hat bruger alle GnuTLS ligesom hundredevis af andre styresystemer eller applikationer.
Der er udsendt en opdatering til GnuTLS 2.12.x og til version 3.2.12. Læs mere om hullet hos Red Hat, som opdagede problemet.
Leave a Reply