keskiviikko 5. maaliskuuta 2014

Linux: Vanha bugi altistaa järjestelmät verkkovakoilulle

TuxGNUTLS-kirjastosta on löydetty koodivirhe joka altistaa Linux-järjestelmät verkkovakoilulle.

GnuTLS-kirjasto käsittelee tls- sekä SSL-salaustekniikoita, kirjaston koodivirhe kuitenkin mahdollistaa kyseisten tekniikoiden ohittamisen.

Koodivirhe ei tee tls-sertifikaattien(X509-sertifikaatti) aitoustarkistusta loppuun ja mahdollistaa sisään pääsemisen millä tahansa sertifikaatilla.

Epäillään että kyseinen koodivirhe olisi ollut kirjastossa jo vuodesta 2005 lähtien.

Haavoittuvuus on korjattu, kehotetaan päivittämään:

Se onko haavoittuvuutta käytetty hyväksi ei ole selvinnyt vielä mutta se on joka tapauksessa nyt korjattu versiosta 3.2.1.12 lähtien ja kehittäjät toivovat että kaikki kirjastoa käyttävät järjestelmät tulisi päivittää vähintäänkin kyseiseen versioon.

Applella oli samankaltainen ongelma hetki sitten, SSL-salauksen kanssa mutta sen Apple korjasi ensiksi iOS-järjestelmään ja sen jälkeen melkein heti OS X -käyttöjärjestelmään.

LÄHDE: Tietokone