別の重大なGnuTLSバグが、Linuxクライアントをサーバ攻撃にさらす

Ubuntu、Debian、およびRedHatを実行するLinux PC、および未知数のアプリケーションが、GnuTLSセキュア通信ライブラリの重大な欠陥を発見した後、再び危険にさらされています。

CodenomiconのJoonas Kuorilehtoが発見したこの欠陥は、GnuTLSを実行しているクライアントマシン上で悪意のあるサーバーがクラッシュしたり、任意のコードを実行したりすることを可能にします。

OpenSSLと同様に、GnuTLSライブラリは、セキュアなソケットレイヤー(SSL)とトランスポートレイヤーセキュリティー(TLS)プロトコルをPC、サーバー、およびアプリケーションに実装して、安全でないチャネルで暗号化された通信を提供します。

Red Hatの監査は脆弱性を発見し、攻撃者がGnuTLSに偽のSSL証明書を受け入れ、アプリケーションやいくつかのLinuxディストリビューションを偽装攻撃に晒すことを許していました。

ライブラリは約200のオペレーティングシステムとアプリケーションで使用されていると考えられていますが、間違いなく多くのものがありました。

GnuTLSは、土曜日の最新のバグの勧告を発表したRedHatによると、クライアントとサーバーの間のTLS / SSLハンドシェイク中にセッションIDの長さが不十分であるかどうかをチェックしています。

“GnuTLSがTLS / SSLハンドシェイクのServer HelloパケットからセッションIDを解析する方法に欠陥が発見されました悪意のあるサーバーがこの欠陥を使用してセッションID値を過度に送信し、接続するTLS / SSLクライアントGnuTLSを使用してクラッシュさせたり、場合によっては任意のコードを実行する可能性があります。

この欠陥はread_server_hello()/ _gnutls_read_server_hello()にあり、session_id_lenが入ってくるパケットサイズを超えないようにチェックされますが、最大セッションIDの長さを超えないようにチェックされていません。

セキュリティ意識とトレーニングポリシー、ITセキュリティ:懸念事項、予算、動向、計画、セキュア機器修理ポリシー、サイバー犯罪のITマネージャガイド

GnuTLSのチーフ開発者とRed Hatの技術者Nikos Mavrogiannopoulosは、土曜日にGnuTLSバージョン3.1.25,3.2.15,3.3.3の欠陥を修正するライブラリのアップデートをリリースした。しかし、少なくとも2週間前にバグが発見されたようで、5月23日にGnuTLSリポジトリに最初に修正が表示されています。

RedHatによると、Fedoraプロジェクトは、Enterprise Linux(EPEL)バージョン5用のExtra Packagesと同様に影響を受けます。

Radare.Todayのより詳細な分析は、バグが悪用される可能性が高いことを示唆しています。 UbuntuとDebianのディストリビューションもこのバグの影響を受けています。

IBM、新しいLinux、Power8、OpenPowerシステムを発表

Linux Mint 17:UEFI Secure Bootによるハンズオン;最も一般的な5つのエンドユーザーLinuxディストリビューション、Windows XPユーザー向けのLinux Mintプログラム

データセンター:IBMは新しいLinux、Power8、OpenPowerシステム、Cloud、マイケル・デル、EMCの契約を締結した:「何十年にもわたって考えることができる、データセンター、Dellテクノロジーズ・リフトオフ:Dell、EMC、人工知能; Nvidiaは非営利研究のAIスーパーコンピュータを提供

マイケル・デルがEMCとの契約を締結した。「数十年後には、

Dell Technologiesがリフトオフする:ここでは、Dell、EMC、エンタープライズビジネスの群れが結合

Nvidiaは非営利の研究のためにAIスーパーコンピュータを提供

Linux