© GitHub.com/radareorg/blog - jvoisin — Teil einer Analyse einer Sicherheitslücke in GnuTLS
Mehrere Updates für verschiedene Zweige von GnuTLS, einer freien Verschlüsselungsbibliothek, schließen eine Sicherheitslücke.
Das Sicherheitsleck mit der Kennung CVE-2014-3466 betrifft die Clientseite, welche für die Transportverschlüsselung mithilfe der Protokolle TLS, DTLS und SSL verantwortlich ist.
So kann mit einem speziell vorbereitetem „ServerHello“ der Speicherinhalt auf Clientseite verändert werden.
GnuTLS ist unter GPLv3 und LGPLv2.1 lizenziert und wird unter anderem von GNU Emacs, Gnome und Ffmpeg genutzt.
In den jüngsten Releases 3.1.25, 3.2.15 und 3.3.3 wurde die Lücke geschlossen. Der aktuelle Quelltext kann als signiertes .tar Archiv heruntergeladen werden. Ebenfalls wurde die Version für Windows aktualisiert.
