Linux: Vážna zraniteľnosť GnuTLS v overovaní certifikátu (CVE-2014-0092)

RedHat tím počas bezpečnostného auditu objavil vážnu zraniteľnosť GnuTLS pri overovaní certifikátu (CVE-2014-0092). Bolo zistené, že GnuTLS nesprávne spracovával určité chyby, ktoré by mohli nastať počas overenia osvedčenia X.509, a takto zle hlásiť úspešné overenie osvedčenia. Útočník by túto chybu mohol použiť na vytvorenie špeciálneho certifikátu. Tento by potom mohol byť (podľa GnuTLS) prijatý ako platný, pre útočníkom zvolené miesto. V širších súvislostiach zraniteľnosť ovplyvňuje aj iný kód v Linuxe, závislý na kóde GnuTLS. Update správy: táto chyba opravená, pre informáciu pozri popis bugu vo lib/x509/verify.c, a čo z toho vyplýva pre písanie kódu v C. Update správy 2: kód GnuTLS bol v tomto príspevku z 16. februára 2008, označovaný za škodlivý, a autor priamo vystríha pred jeho používaním …

Záložka pro permanentní odkaz.

Autor: dodoedo

"Američtí vědci zjistili, že občané věří všemu, co američtí vědci zjistili." Byť Slobodný znamená, že nepotrebuješ byť členom žiadnej záujmovej skupiny, a si nezamestnaný zo strany bankových kartelov.

Komentáře jsou uzavřeny.