Ο developer της Red Hat, Νίκος Μαυρογιαννόπουλος, ανακάλυψε ένα κενό ασφαλείας που παρέμενε αόρατο για τουλάχιστον 10 χρόνια! Συγκεκριμένα, εξετάζοντας τον κώδικα της βιβλιοθήκης GnuTLS διαπίστωσε πως είναι δυνατό να παρακαμθούν οι δικλείδες ασφαλείας των TLS και SSL και κάποιος κακόβουλος χρήστης να αποκτήσει πρόσβαση σε κρυπτογραφημένα δεδομένα μέσω της τεχνικής Man in the middle attack (MITM).
Με μια πρώτη ματιά το bug δείχνει να είναι ένα προγραμματιστικό λάθος το οποίο μέσω λανθασμένης διαχείρισης σφαλμάτων κάποιος μπορούσε να χρησιμοποιήσει ψεύτικα πιστοποιητικά και να πάρει τη θέση του αυθεντικού server. Το συγκεκριμένο πρόβλημα αφορά όλο το οικοσύστημα του Linux αν και είναι άγνωστο το πόσους χρήστες επηρρεάζει. Ήδη οι διανομές αλλά και η ομάδα ανάπτυξης του GnuTLS έχουν διαθέσει ένα patch. Στο Debian για παράδειγμα θα δούμε την αναβάθμιση του πακέτου libGnuTLS.
Αυτό που προκάλεσε εντύπωση είναι πως δεν εντοπίστηκε για τόσα χρόνια ένα τέτοιο κενό με βάση το δεδομένο του ανοικτού κώδικα.Φυσικά απο την όλη κατάσταση δεν λείπουν και οι θεωρίες συνομωσίας ή και αρνητικά σχόλια για την ποιότητα του κώδικα της συγκεκριμένης βιβλιοθήκης. Κάποιοι άλλοι υποβαθμίζουν το γεγονός λέγοντας πως η εφαρμογή δεν ήταν και τόσο δημοφιλής.
*Το bug θα το βρούμε ως CVE-2014-0092.
- Συνδεθείτε ή εγγραφείτε για να σχολιάσετε
Σχόλια
Αν το πρόβλημα ήταν άγνωστο για τόσα χρόνια...πόσοι μπορεί να το ήξεραν και να κάναν χρήση αυτού του bug? Πιστεύω πως αν ήταν γνωστό σε επίδοξους χάκερ που θέλουν να κάνουν κακό θα γινόταν γνωστό συντομότερα. Οπότε μικρό το κακό!
Εξαρτάται απο τους hacker darkheart. Εξάλλου δεν μιλάμε για ένα bug που θα σου επέτρεπε να κάνεις deface μια σελίδα, οπότε και θα φαινόταν. Αν κάποιον τον ενδιαφέρουν οικονομικά δεδομένα γιατί να αποκαλύψει πως τα έκλεψε;
Εχω ενα προβλημα με αυτο το κενο ασφαλειας. Εχω Debian 7 Wheezy και δεν μπορω να εγκαταστησω την ενημερωση libgnutls28-3.2.12.1-2~bpo70+1· μου το εμφανιζει σαν blocked update. Εχετε καμια ιδεα;