'Ekstremt kritisk' sikkerhedshul i Linux - opdater nu

5. marts 2014 kl. 10:1826
'Ekstremt kritisk' sikkerhedshul i Linux - opdater nu
Illustration: Larry Ewing.
Et hul, der kaldes endnu mere kritisk end Apples ’goto’-sårbarhed, er blevet fundet i GnuTLS og dermed i et væld af Linux-distributioner. Fejlen gør det nemt at omgå SSL/TLS-krypteringen.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Få dage efter, at Apple måtte skynde sig at opdatere styresystemerne Mac OS X og iOS for at lukke et gabende hul i sikkerheden for netkommunikation, er den gal igen. Denne gang i Linux-verden, hvor et modul til at sikre SSL/TLS-kryptering på nettet også har været ramt af en alvorlig fejl. Det skriver Ars Technica.

Mere præcist er det biblioteket GnuTLS, der slet ikke har beskyttet godt nok mod, at andre kunne lytte med på kommunikationen over nettet. Kryptering med SSL/TLS er den mest udbredte metode til at kommunikere med for eksempel webbutikker eller webmailklienter.

Apples fejl blev døbt ’goto-fejlen’ og fik alarmklokkerne til at ringe. Men denne fejl i GnuTLS bliver vurderet til at være mere alvorlig og bliver kaldt ’ekstremt kritisk’. Mange webservere kører nemlig på Linux og har brugt GnuTLS til at sikre kommunikationen.

De to fejl minder også lidt om hinanden, men hvor det i Apples styresystemer var en enkelt goto-kommando, der var gået helt galt, er problemet i GnuTLS mere komplekst og involverer en række ’goto cleanup’-kald.

Artiklen fortsætter efter annoncen

Fejlen betød, at hackere relativt nemt kunne lave et falsk certifikat og få det godkendt som legitimt. Dermed kunne hackere med et man-in-the-middle-angreb lytte med på trafikken ukrypteret.

Konsekvenserne af sikkerhedshullet er endnu ikke klarlagt, for måske har fejlen været der siden 2005, og potentielt kunne det bruges til mange slags angreb. Linux-distributioner som Ubuntu, Debian og Red Hat bruger alle GnuTLS ligesom hundredevis af andre styresystemer eller applikationer.

Der er udsendt en opdatering til GnuTLS 2.12.x og til version 3.2.12. Læs mere om hullet hos Red Hat, som opdagede problemet.

26 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
11
5. marts 2014 kl. 12:09

Tror jeg har fundet den relevante opdatering til Debian:https://www.debian.org/security/2014/dsa-2866

Eller kan jeg nu være sikker? (selvom der er grøn hængelås på httpS:) Fra texten: "I den stabile distribution (wheezy), er dette problem rettet i version 2.12.20-8."

Fejlen har cve-nr: CVE-2014-1959

14
5. marts 2014 kl. 12:24

Kan jeg være sikker på at den ikke bruger GnuTLS? Ja for jeg har glemt at jeg sad ved en chromebook!

Nå hvad bruger den så: Jov "openssl-1.0.1e" .(Den bruger ingen pakker med "gn" i)

9
5. marts 2014 kl. 12:01

$ sudo apt-get remove gnutls-bin Reading package lists... Done Building dependency tree
Reading state information... Done Package gnutls-bin is not installed, so not removed 0 upgraded, 0 newly installed, 0 to remove and 0 not upgraded.

Det her er på en Apache webserver med en fungerende SSL.... min arbejds-PC havde heller ikke pakken installeret... så det er vist ikke så kritisk for de fleste, det er kun de med en speciel serveropsætning der skal opdatere, for at beskytte deres brugere.

I det lys synes jeg overskriftens 'Opdater nu' er lidt overdrevet.. de fleste Linux-brugere skal slet ikke opdatere noget.

26
5. marts 2014 kl. 23:35

Ville blot lige pointere at det var i library, problemet lå, hhv.: libgnutls2 & libgnutlsxx2 for debian.

Tak for præciseringen. På Ubuntu hedder pakken 'libgnutls26'. Jeg bruger tilfældigvis ingen af de nævnte programmer.... og jeg havde sat "Hent og installer automatisk" for sikkerhedsopdateringer, så da jeg så Version2's advarsel om at opdatere, der var det allerede sket automatisk for mit vedkommende :-)

Men jo, jeg dementerer lige min tidligere udtalelse: Den ER installeret som standard på Ubuntu

25
5. marts 2014 kl. 20:59

Personligt har jeg ikke kunnet finde ud af hvad Firefox benytter sig af. Og hverken chromium eller firefox har gnutls eller openssl listet some depends på min nuværende distro (!Debian).

Mit indlæg blev todelt, 3 min er for kort tid, hvis man har været for hurtig til at poste i første omgang!

4
5. marts 2014 kl. 11:19

Hvordan kan denne fejl være mere kritisk end Apples "goto fail", når "goto fail" fejlen var så kritisk som det overhovedet kunne blive.

Hvilket (realistiske) scenarier kan man udnytte ved denne fejl, som ikke også kan udnyttes ved "goto fail"-fejlen?

5
5. marts 2014 kl. 11:29

Som der står i artiklen:

Men denne fejl i GnuTLS bliver vurderet til at være mere alvorligt og bliver kaldt ’ekstremt kritisk’. Mange webservere kører nemlig på Linux og har brugt GnuTLS til at sikre kommunikationen.

Denne fejl rammer altså bredere...alle brugere som rammer en server, som har GNU TLS er berørt.

10
5. marts 2014 kl. 12:02

Denne fejl rammer altså bredere...alle brugere som rammer en server, som har GNU TLS er berørt.

Jeg tror at jounalisten overvurderer udbredelsen af GnuTLS.

Det er klart min opfattelse at OpenSSL er langt mere udbredt og at folk først og fremmest vælger GnuTLS af licensmæssige grunde fordi OpenSSL-licensen ikke er kompatibel med GPL uden en undtagelse der tillader at linke med OpenSSL. Netop for webservere er licenser ikke det store problem, både Apache og nginx har ret liberale licenser.

Desuden er valget af SSL ofte ret konservativt og OpenSSL er måske noget klytkode og generelt dårligt dokumenteret. Men det er stadigvæk den velkendte SSL-implementation som de fleste rækker ud efter som første valg.

8
5. marts 2014 kl. 11:51

Denne fejl rammer altså bredere...alle brugere som rammer en server, som har GNU TLS er berørt.

Nu er jeg ikke ekspert på området (langt fra faktisk), men fejlen må ligge i klientdelen af GnuTLS - mere præcist den del som validerer certifikater.

Hvis det lå i serverdelen, så kan jeg ikke se hvordan problemet kan være så vigtig igen, med mindre de folk der vil lave MitM har adgang til serveren (i hvilken situation kampen er tabt anyway).

Så ud fra det burde antallet af webservere der bruger GnuTLS ikke har noget at sige, men nærmere antallet af klientprogrammer som linker imod den.

Tager jeg helt fejl?

15
5. marts 2014 kl. 13:04

men fejlen må ligge i klientdelen af GnuTLS - mere præcist den del som validerer certifikater.

Så vidt jeg kan læse mig til har du ret, det er valideringen af certifikater som går galt, i visse tilfælde, således at untrusted certifikater bliver verificerende. For at komme i en situation hvor fejlen kan udnyttes skal man så igen have en eller mitm indgang (fx et offentligt wifi hotspot), for at opsnappe forespørgsler og udskifte svaret med sit eget. Er der andre muligheder end mitm? I det fleste tilfælde vil det "kun" have betydning for klient siden, med mindre server siden også bruger certifikater til at godkende sine brugere.

16
5. marts 2014 kl. 13:41

Er der andre muligheder end mitm?

Ja hvis du f.eks. modificere en cisco router så den kører med falsk DNS server, så vil du få grøn hængelås på din netbank da certifikatet godkendes.

Selv er jeg 'dum nok' til at kører med '0-konfigureret DHCP' på egne pc'ere og Chromebooks. Måske man skulle gå væk fra '0-konfigureret DHCP' og ja reverse-arp/DNS er også nemt at manipulere med. Hvis man kører secure-dns kommer opsætningen så fra DHCP? - (for så er det osse nemt at slå fra på routeren)

Se evt. http://www.version2.dk/artikel/hackere-hijacker-300000-traadloese-routere-56586

17
5. marts 2014 kl. 13:49

Hvis du redirecter DNS er du da netop igang med et MITM angreb er du ikke?

20
5. marts 2014 kl. 13:58

Hvis du redirecter DNS er du da netop igang med et MITM angreb er du ikke?

Nej, jeg behøver i hvertfald ikke "en fysisk mand i midten (af linjen)". Man kan godt angribe andres router "hjemme fra" og den server der leger "netbank" er på et "web-hotel". Hvis nu jeg var gangster så havde jeg nogen der var i narkogæld, så kunne jeg bruge dem og deres konto som mulddyr og så få kontanter af dem. (De er jo nok bange for at sladre til politiet)

22
5. marts 2014 kl. 14:16

Nej, du kan godt "resete routeren til factory-default" og derefter står den til "admin af routeren fra nettet passw:admin" port:2033. Dette har jeg selv prøvet på min vens Zyxel der stod 150km væk (fra hvor jeg sad) (Min ven var "med i telefonen imedens") Det er ca 5år siden.

23
5. marts 2014 kl. 14:27

Jeg mener nu heller ikke at mitm kræver fysisk tilstedeværelse, men at der er modificeret et eller andet (fx DNS servicen på en router) mellem klienten og fx serveren som gør at data bliver opsnappet eller udskiftet. Om det så er sket ved at du var fysisk på adressen eller på anden vis har fået adgang til en enhed på netværket kan være underordnet.

19
5. marts 2014 kl. 13:52

Svarer lige mig selv. Pointen er så at man ikke behøverat være i mellem server og client, men er serveren. Ville ønske jeg kunne finde ud af at slette mit spørgsmål.

6
5. marts 2014 kl. 11:43

"Ja, jeg så godt, at der kom en frisk pakke i Slackware i forgårs. Det er så rart, når de er med."

Det er rigtigt at det er smart med automatiske opdateringer ja, men stadig ganske uheldigt at fejlen har været der i op til 10 år uden at blive opdaget.. 10 år med webservere som ikke har beskyttet de brugere der har været på siderne.

Open source er godt, og giver mange muligheder, der ikke findes ved closed source, men bare fordi det er åbent betyder det ikke at fejl bliver rettet hurtigt.. det kræver at der faktisk er nogen som går tingene kritisk igennem, og med den enorme kodebase der ligger, så er det desværre meget sandsynligt at der findes mange flere af denne type fejl og lurer :/

2
5. marts 2014 kl. 10:53

Er mod_ssl ikke også standard at benytte i Apache2 fremfor mod_gnutls ?

1
5. marts 2014 kl. 10:38

Nu har gnuTLS så ikke ret meget med Linux at gøre ud over at det er et stykke software som kan køre på linux og andre platforme så som windows og osx, så basalt set så er det også en sikkerhedsfejl på alle andre platforme.