Sicherheitslücken in GnuTLS geschlossen
Die Entwickler revidieren eine kurz zuvor herausgegebene Version, die die Denial-Of-Service-Lücken zwar ebenfalls schloss, dafür aber einen anderen Programmierfehler enthielt.
Die neue Version 2.2.5 der Verschlüsselungsbibliothek GnuTLS schließt drei Schwachstellen, die Angreifer unter Umständen dazu ausnutzen können, dass verwundbare Systeme keine verschlüsselten Netzwerkverbindungen mehr akzeptieren. Damit revidieren die Entwickler die erst wenige Stunden zuvor herausgegebene Version 2.2.4, die die Lücken ebenfalls nicht mehr enthielt, dafür jedoch einen neuen Fehler, der unter gewissen Umständen Verbindungsabbrüche verursachte.
Laut einem Advisory der GnuTLS-Entwickler handelt es sich bei einer der Lücken um eine sogenannte NULL-Zeiger-Dereferenz, die häufig auch die Ausführung von beliebigem Schadcode ermöglicht. Ob dies bei der GnuTLS-Schwachstelle der Fall ist, ist derzeit noch unklar. Von den drei Sicherheitslücken sind alle Versionen vor 2.2.4 betroffen. Neben dem neuen Stable-Release stehen aber auch Patches für die älteren Versionen 1.2.11, 1.4.5, 1.6.3, 2.0.4 und 2.2.3 bereit, die offenbar noch häufig im Einsatz sind. (cr)
