'Ekstremt kritisk' sikkerhedshul i Linux - opdater nu

Et hul, der kaldes endnu mere kritisk end Apples ’goto’-sårbarhed, er blevet fundet i GnuTLS og dermed i et væld af Linux-distributioner. Fejlen gør det nemt at omgå SSL/TLS-krypteringen.

Få dage efter, at Apple måtte skynde sig at opdatere styresystemerne Mac OS X og iOS for at lukke et gabende hul i sikkerheden for netkommunikation, er den gal igen. Denne gang i Linux-verden, hvor et modul til at sikre SSL/TLS-kryptering på nettet også har været ramt af en alvorlig fejl. Det skriver Ars Technica.

Mere præcist er det biblioteket GnuTLS, der slet ikke har beskyttet godt nok mod, at andre kunne lytte med på kommunikationen over nettet. Kryptering med SSL/TLS er den mest udbredte metode til at kommunikere med for eksempel webbutikker eller webmailklienter.

Læs også: Apple retter SSL-sikkerhedshul i OS X

Apples fejl blev døbt ’goto-fejlen’ og fik alarmklokkerne til at ringe. Men denne fejl i GnuTLS bliver vurderet til at være mere alvorlig og bliver kaldt ’ekstremt kritisk’. Mange webservere kører nemlig på Linux og har brugt GnuTLS til at sikre kommunikationen.

De to fejl minder også lidt om hinanden, men hvor det i Apples styresystemer var en enkelt goto-kommando, der var gået helt galt, er problemet i GnuTLS mere komplekst og involverer en række ’goto cleanup’-kald.

Fejlen betød, at hackere relativt nemt kunne lave et falsk certifikat og få det godkendt som legitimt. Dermed kunne hackere med et man-in-the-middle-angreb lytte med på trafikken ukrypteret.

Konsekvenserne af sikkerhedshullet er endnu ikke klarlagt, for måske har fejlen været der siden 2005, og potentielt kunne det bruges til mange slags angreb. Linux-distributioner som Ubuntu, Debian og Red Hat bruger alle GnuTLS ligesom hundredevis af andre styresystemer eller applikationer.

Der er udsendt en opdatering til GnuTLS 2.12.x og til version 3.2.12. Læs mere om hullet hos Red Hat, som opdagede problemet.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (26)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Tommy Apel

Nu har gnuTLS så ikke ret meget med Linux at gøre ud over at det er et stykke software som kan køre på linux og andre platforme så som windows og osx, så basalt set så er det også en sikkerhedsfejl på alle andre platforme.

  • 34
  • 3
martin nyhjem

"Ja, jeg så godt, at der kom en frisk pakke i Slackware i forgårs. Det er så rart, når de er med."

Det er rigtigt at det er smart med automatiske opdateringer ja, men stadig ganske uheldigt at fejlen har været der i op til 10 år uden at blive opdaget.. 10 år med webservere som ikke har beskyttet de brugere der har været på siderne.

Open source er godt, og giver mange muligheder, der ikke findes ved closed source, men bare fordi det er åbent betyder det ikke at fejl bliver rettet hurtigt.. det kræver at der faktisk er nogen som går tingene kritisk igennem, og med den enorme kodebase der ligger, så er det desværre meget sandsynligt at der findes mange flere af denne type fejl og lurer :/

  • 2
  • 4
Bjarke I. Pedersen

Denne fejl rammer altså bredere...alle brugere som rammer en server, som har GNU TLS er berørt.

Nu er jeg ikke ekspert på området (langt fra faktisk), men fejlen må ligge i klientdelen af GnuTLS - mere præcist den del som validerer certifikater.

Hvis det lå i serverdelen, så kan jeg ikke se hvordan problemet kan være så vigtig igen, med mindre de folk der vil lave MitM har adgang til serveren (i hvilken situation kampen er tabt anyway).

Så ud fra det burde antallet af webservere der bruger GnuTLS ikke har noget at sige, men nærmere antallet af klientprogrammer som linker imod den.

Tager jeg helt fejl?

  • 0
  • 0
Jacob Nordfalk

$ sudo apt-get remove gnutls-bin
Reading package lists... Done
Building dependency tree
Reading state information... Done
Package gnutls-bin is not installed, so not removed
0 upgraded, 0 newly installed, 0 to remove and 0 not upgraded.

Det her er på en Apache webserver med en fungerende SSL.... min arbejds-PC havde heller ikke pakken installeret... så det er vist ikke så kritisk for de fleste, det er kun de med en speciel serveropsætning der skal opdatere, for at beskytte deres brugere.

I det lys synes jeg overskriftens 'Opdater nu' er lidt overdrevet.. de fleste Linux-brugere skal slet ikke opdatere noget.

  • 16
  • 1
Peter Makholm Blogger

Denne fejl rammer altså bredere...alle brugere som rammer en server, som har GNU TLS er berørt.

Jeg tror at jounalisten overvurderer udbredelsen af GnuTLS.

Det er klart min opfattelse at OpenSSL er langt mere udbredt og at folk først og fremmest vælger GnuTLS af licensmæssige grunde fordi OpenSSL-licensen ikke er kompatibel med GPL uden en undtagelse der tillader at linke med OpenSSL. Netop for webservere er licenser ikke det store problem, både Apache og nginx har ret liberale licenser.

Desuden er valget af SSL ofte ret konservativt og OpenSSL er måske noget klytkode og generelt dårligt dokumenteret. Men det er stadigvæk den velkendte SSL-implementation som de fleste rækker ud efter som første valg.

  • 16
  • 1
Søren Juul

men fejlen må ligge i klientdelen af GnuTLS - mere præcist den del som validerer certifikater.

Så vidt jeg kan læse mig til har du ret, det er valideringen af certifikater som går galt, i visse tilfælde, således at untrusted certifikater bliver verificerende.
For at komme i en situation hvor fejlen kan udnyttes skal man så igen have en eller mitm indgang (fx et offentligt wifi hotspot), for at opsnappe forespørgsler og udskifte svaret med sit eget. Er der andre muligheder end mitm?
I det fleste tilfælde vil det "kun" have betydning for klient siden, med mindre server siden også bruger certifikater til at godkende sine brugere.

  • 0
  • 0
Carsten Olsen

Er der andre muligheder end mitm?


Ja hvis du f.eks. modificere en cisco router så den kører med falsk DNS server, så vil du få grøn hængelås på din netbank da certifikatet godkendes.

Selv er jeg 'dum nok' til at kører med '0-konfigureret DHCP' på egne pc'ere og Chromebooks. Måske man skulle gå væk fra '0-konfigureret DHCP'
og ja reverse-arp/DNS er også nemt at manipulere med. Hvis man kører secure-dns kommer opsætningen så fra DHCP? - (for så er det osse nemt at slå fra på routeren)

Se evt. http://www.version2.dk/artikel/hackere-hijacker-300000-traadloese-router...

  • 0
  • 1
Carsten Olsen

Hvis du redirecter DNS er du da netop igang med et MITM angreb er du ikke?


Nej, jeg behøver i hvertfald ikke "en fysisk mand i midten (af linjen)".
Man kan godt angribe andres router "hjemme fra" og den server der leger "netbank" er på et "web-hotel". Hvis nu jeg var gangster så havde jeg nogen der var i narkogæld, så kunne jeg bruge dem og deres konto som mulddyr og så få kontanter af dem. (De er jo nok bange for at sladre til politiet)

  • 0
  • 0
Søren Juul

Jeg mener nu heller ikke at mitm kræver fysisk tilstedeværelse, men at der er modificeret et eller andet (fx DNS servicen på en router) mellem klienten og fx serveren som gør at data bliver opsnappet eller udskiftet.
Om det så er sket ved at du var fysisk på adressen eller på anden vis har fået adgang til en enhed på netværket kan være underordnet.

  • 0
  • 0
Jacob Nordfalk

Ville blot lige pointere at det var i library, problemet lå, hhv.: libgnutls2 & libgnutlsxx2 for debian.

Tak for præciseringen. På Ubuntu hedder pakken 'libgnutls26'. Jeg bruger tilfældigvis ingen af de nævnte programmer.... og jeg havde sat "Hent og installer automatisk" for sikkerhedsopdateringer, så da jeg så Version2's advarsel om at opdatere, der var det allerede sket automatisk for mit vedkommende :-)

Men jo, jeg dementerer lige min tidligere udtalelse: Den ER installeret som standard på Ubuntu

  • 4
  • 1
Log ind eller Opret konto for at kommentere