Fatálna chyba eliminujúca bezpečnosť SSL aj v linuxovej knižnici GnuTLS

Značky: bezpečnosťplanétyLinuxsoftvér

DSL.sk, 5.3.2014

Podobná fatálna chyba eliminujúca bezpečnosť SSL, ako sa nachádzala v operačných systémoch iOS a OS X, sa nachádzala aj v linuxovej knižnici GnuTLS, druhej najpopulárnejšej linuxovej implementácie SSL po OpenSSL.

Na chybu upozornili autori knižnice, ktorí ju tento týždeň opravili aktualizáciou knižnice na verzie 3.2.12 respektíve 3.1.22.

Chyba bola podobne ako v prípade fatálnej a zahanbujúcej chyby v knižnici Apple v logike overovania, v tomto prípade v overovaní či podpisujúci certifikát je certifikátom certifikačnej autority. Na rozdiel od Apple sa v kóde nachádzalo viacero rovnakých chýb na viacerých miestach.

Podobne ako v prípade Apple bola chyba na väčšine miest spôsobená chybným skokom v zdrojových kódoch. Kým u Apple išlo o nezmyselne pridaný nepodmienečný skok, u GnuTLS sa v prípade chyby pri overovaní rozličných vlastností certifikátu chybne skáče na zlé návestie a funkcia overenia certifikátu následne vracia v prípade chyby hodnotu true znamenajúcu správne overený certifikát. Chybný kód aj s opravou si je možné pozrieť v záplate zdrojových kódov.

Kým v prípade Apple k chybe prichádzalo vždy pri kontrole nesediaceho podpisu a bolo si ju tak možné potenciálne ľahko všimnúť, chybu v GnuTLS bolo možné zrejme zneužiť iba použitím špecifických certifikátov a má tak parametre potenciálnych zadných vrátok. Chyba umožnila tváriť sa útočníkovi ako prevádzkovateľ ľubovoľnej zabezpečenej stránky a napríklad tak realizovať man-in-the-middle útok a odchytávať prenášané dáta.

Vzhľadom na to, kto chybu do kódu zaniesol a kto ju opravil, zrejme ale chyba nie je úmyselnými zadnými vrátkami. Chybu totiž do kódu zrejme ešte v roku 2003 zaniesol Nikos Mavrogiannopoulos, pracujúci pre Red Hat v Českej republike. Ten ju aktuálne aj identifikoval.

Knižnica GnuTLS je ako alternatíva OpenSSL podporovaná množstvom linuxového softvéru, väčšina ale štandardne využíva OpenSSL. Ktorý všetok softvér respektíve v ktorých distribúciách využíva štandardne GnuTLS a bol respektíve je tak zraniteľný nie je jasné.




Najnovšie články:



Diskusia:

A zasa Od: Trolololo.... | Pridané: 5.3.2014 16:34 Zas maju tie hackery co robit... Odpovedať Známka: 7.0 Hodnotiť:

Re: A zasa Od: provokátor | Pridané: 5.3.2014 17:25 Trúba negramotná, ty sa už konečne nauč pÝsať!! A nepoužívaj terminológiu, ktorej vôbec nerozumieš, už som ti to raz písal! Blbec! Odpovedať Známka: -6.7 Hodnotiť:

Re: A zasa Od: 6aaaaaa | Pridané: 6.3.2014 1:10 PODPORTE DSL.SK 6x kliknite na banner A.Kisku _ PS. na azete neklikajte na SMER-acke bannery, tam idu platby z vasich dani Odpovedať Známka: -2.0 Hodnotiť:

Re: A zasa Od: Ritmus for president | Pridané: 6.3.2014 9:12 Chodte do prec aj s vasou politickou propagandou. Odpovedať Známka: 5.6 Hodnotiť:

Re: A zasa Od: dmwtja | Pridané: 6.3.2014 7:01 on sy z tEba a tEbe podobnich roby šrandu....zrejne aby si sa naucil vnimat obsai a nie pisnenka...netusim Odpovedať Známka: -5.0 Hodnotiť:

pepezBE Od: Linux | Pridané: 5.3.2014 17:56 ...ked ma niekto cas nech sa stym hra... ...dal som linuxu sancu pred ~10y ale pekne som sa vratil k win.... a teraz som zase nieco potreboval vyriesit, aj som vyriesil, nakodil, nakof. ale proste ten cas co to zaberie...stary dobry windows... Okrem firewallu a par routrov, linux u mna nema zmysel. Chcelo by to nieco ako raspberry ale tak 3xvacsi vykon, plny windows do toho... Za cenu 50E aj s licenciou Win ;-) to by slo ako teple pecivo pre skupinu DIY fandov... Odpovedať Známka: -5.8 Hodnotiť:

Re: pepezBE Od: chatpall_ | Pridané: 5.3.2014 20:33 nuz take nieco existuje a vola sa to PC a Debian Odpovedať Známka: -3.3 Hodnotiť:

Re: A zasa Od: hackovac | Pridané: 5.3.2014 18:43 este cakam na treti clanok, ze je rovnaka chyba aj vo windows a idem na to. Odpovedať Známka: 8.6 Hodnotiť:

Re: A zasa Od: karolkooo | Pridané: 5.3.2014 21:43 No, som windowsak a mam windows celkom rad. Teda ak nie je tema o osmicke. Ale verim, ze keby bol windows opensource a videli by sme diff zaplat, tak by nam az oci vypadli :D Odpovedať Známka: 8.6 Hodnotiť:

A shit! Od: Rumbarak | Pridané: 5.3.2014 16:36 rm -rf x509 && shutdown -h now Odpovedať Známka: -6.9 Hodnotiť:

Re: A shit! Od: jozkoooo | Pridané: 5.3.2014 17:16 no dakujem pekne za taki kot to to ani sadarmo Odpovedať Známka: -2.0 Hodnotiť:

Re: A shit! Od: ddddsfdasf | Pridané: 5.3.2014 21:40 nic mi to neurobilo, iba vypisalo. windowz daznt rekognajz komand Odpovedať Známka: 10.0 Hodnotiť:

Re: A shit! Od: karolkooo | Pridané: 5.3.2014 22:01 Skusil som to na firemnom serveri, nic mi to nevymazalo, len to vyplo server a musel som sa srat do serverovne o druhej rano. Dakujem za hotfix, ked sa nevyznas, radsej sem nic nepis :D (joke) Odpovedať Známka: 6.0 Hodnotiť:

Re: A shit! Od: Fresco | Pridané: 6.3.2014 0:34 no to som sa nasmial kua Odpovedať Známka: 10.0 Hodnotiť:

Dobre no.. Od: Cezaro | Pridané: 5.3.2014 16:53 Dobre no, chyba od roku 2003 sa vyriesila v roku 2014. Chyb v kernely je na desattisice, aj ked nie su kriticke alebo sa aspon za kriticke nepovazuju. Na druhej strane je ich stale v linuxe menej ako vo windowse a postupne sa riesia. Windows je taky balast moloch casom sa nabalujuci, ze tam ani nie je mozne opravit vsetky chyby. Odpovedať Známka: -2.4 Hodnotiť:

Re: Dobre no.. Od: .em | Pridané: 5.3.2014 16:55 aspon je patchnuta skor ako publikovana :) Odpovedať Známka: 7.9 Hodnotiť:

Re: Dobre no.. Od: qqqqqqqqqqqqqqqqqqqqqq | Pridané: 5.3.2014 17:48 Pozor o com sa tu bavime. To nie je chyba v kerneli (Linuxe), ale v nezavislej kniznici. S Linuxom to ma spolocne akurat to ze ta kniznica sa pouziva aj v operacnych ktore ako jadro pouzivaju (aj, ale nielen) Linux. Nie je to teda nijakym sposobom spojene s vyvojom Linuxu a s jeho codebase. Odpovedať Známka: 8.7 Hodnotiť:

Re: Dobre no.. Od: Aladar II | Pridané: 5.3.2014 20:17 Presne tak. To ako keby nadavali na MS, ze Ghisler nieco posral. Odpovedať Známka: 10.0 Hodnotiť:

Re: Dobre no.. Od: karolkooo | Pridané: 5.3.2014 22:02 Skur*eny Microsoft, zas mi pri spusteni total commanderu vyskoci okno, aby som zadal cislo :( Odpovedať Známka: 10.0 Hodnotiť:

Re: Dobre no.. Od: Fresco | Pridané: 6.3.2014 0:35 vidíš, nemá Ghislera rád, freeCommander mu nevadí a numerko nepýta Odpovedať Známka: 3.3 Hodnotiť:

Re: Dobre no.. Od: janino123 | Pridané: 5.3.2014 19:28 by ma zaujímalo, koľko zdrojového kódu windowsu si videl... Odpovedať Známka: 8.7 Hodnotiť:

Re: Dobre no.. Od: quix_ | Pridané: 5.3.2014 19:49 on? no vsetok predsa! ..stiahol z rapidsharu Odpovedať Známka: 9.1 Hodnotiť:

Re: Dobre no.. Od: klávesnice | Pridané: 6.3.2014 11:56 Chuck Norris pozná celý kód Windowsu. Aj odzadu. Odpovedať Známka: 10.0 Hodnotiť:

Re: Dobre no.. Od: Kernela? | Pridané: 6.3.2014 10:00 A v ktorej kernely konkretne? Odpovedať Hodnotiť:

hahahahahahaahha Od: jozkooooo | Pridané: 5.3.2014 16:55 sosky cakam hahahahaha hamba vam ze apple lunex to ma dvonasobne chiba a cakame mesiac alebo dva opravu chachacha lunexi teras idu odpad Odpovedať Známka: -8.1 Hodnotiť:

Re: hahahahahahaahha Od: ... | Pridané: 5.3.2014 20:02 Ty co fetujes omg Odpovedať Známka: 6.7 Hodnotiť:

Re: hahahahahahaahha Od: XMen | Pridané: 9.3.2014 9:42 OMG naucte sa pisat a idealne aj nieco k veci. Okrem toho ste asi necital clanok ale chyba bola patchnuta skor nez publikovana. Takze ziadny mesiac necakate ale ak mate nejaku znamejsiu linuxovu distribuciu (o com pochybujem lebo zjavne o linuxe nic neviete) co ju pouziva tak to mate uz davno zaplatane a ani ste si to nevsimol. Odpovedať Hodnotiť:

:) 5znakov Od: Le National Troll | Pridané: 5.3.2014 16:57 Zlaté české ručičky. :) Odpovedať Známka: 6.5 Hodnotiť:

Re: :) 5znakov Od reg.: OmeGa | Pridané: 5.3.2014 17:14 Nikos Mavrogiannopoulos - čistý moravák! Odpovedať Známka: 9.4 Hodnotiť:

Re: :) 5znakov Od: enx | Pridané: 5.3.2014 22:30 možno sa narodil ako Honza Novák, ale prišlo mu to moc nudné.. Odpovedať Známka: 10.0 Hodnotiť:

Re: :) 5znakov Od: spooxik | Pridané: 6.3.2014 8:27 redukujooo do vaničkyyy ... Odpovedať Hodnotiť:

Re: :) 5znakov Od: trtkac | Pridané: 5.3.2014 17:16 Co chytia to pojebu. Odpovedať Známka: 4.0 Hodnotiť:

Re: :) 5znakov Od: Alad2 | Pridané: 5.3.2014 20:17 Pokial si to myslel doslovne, tak mas + za true aj irony :P Odpovedať Známka: 3.3 Hodnotiť:

Re: :) 5znakov Od: srobik | Pridané: 6.3.2014 8:22 Nechapem, ako moze niekto pouzivat tolko navesti a nepodmienenych skokov pouzitim goto... Ich pouzitie sa asi neda uplne zakazat, no napr. coding standart MISRA04 ich striktne zakazuje.. Odpovedať Známka: 10.0 Hodnotiť:

Fixnute Od: Kicko | Pridané: 5.3.2014 17:44 Aspon, ze je to uz fixnute ... hned sa mi zdalo, ze treba nainstalovat updaty, ked som tam zbadal GnuTLS medzi dostupnymi. Blbe, ze starsie distribucie, ktore stratili podporu, ostali derave. Napr. CentOS 5. Odpovedať Známka: 2.5 Hodnotiť:

Re: Fixnute Od: quix_ | Pridané: 5.3.2014 19:52 neviem aky centos pouzivas ty ale oficialne info su taketo: CentOS-5 updates until Mar 31, 2017 asi si myslel centos4 CentOS-4 updates until Feb 29, 2012 Odpovedať Známka: 8.2 Hodnotiť:

Re: Fixnute Od: Kicko | Pridané: 5.3.2014 21:41 jaaj, pravdu mas ... neupdatli sa stroje s Fedorou Odpovedať Známka: 10.0 Hodnotiť:

2003 musí mať dĺžku aspoň 5 znakov Od: mnbv | Pridané: 5.3.2014 18:34 "Chybu totiž do kódu zrejme ešte v roku 2003 zaniesol Nikos Mavrogiannopoulos, pracujúci pre Red Hat v Českej republike." Nie som si 100% isty, ale myslim, ze Red Hat v CR v roku 2003 este nebol. Odpovedať Známka: 10.0 Hodnotiť:

Re: 2003 musí mať dĺžku aspoň 5 znakov Od: xvzf | Pridané: 5.3.2014 19:14 mas pravdu: http://is.gd/Ov30aw Odpovedať Známka: 3.3 Hodnotiť:

Re: 2003 musí mať dĺžku aspoň 5 znakov Od: jancis | Pridané: 5.3.2014 19:37 Vtedy bol pracujuci inde, sucasnu adresu tam dali preto aby si mu mohol ist nakopat do zadku Odpovedať Známka: 5.6 Hodnotiť:

Re: 2003 musí mať dĺžku aspoň 5 znakov Od: brezneva | Pridané: 5.3.2014 22:05 To je sice pravda, ale naj fusheri v programovani su i tak cesi. Cesi, neurazte sa, ale je to tak. Odpovedať Známka: 0.0 Hodnotiť:

Re: 2003 musí mať dĺžku aspoň 5 znakov Od: brezneva | Pridané: 5.3.2014 22:06 Ano, nie je to typicke ceske meno, ale zrejme uz cosi pochytil od nich :D Odpovedať Známka: 10.0 Hodnotiť:

Re: 2003 musí mať dĺžku aspoň 5 znakov Od: CVičme CValy | Pridané: 5.3.2014 23:22 Katholieke Universiteit Leuven Doctor of Philosophy (PhD), Engineering 2010 – 2013 Dissertation titled “Secure communications protocols and the protection of cryptographic keys”, 2013 Eindhoven University of Technology MSc, Information Security Technology 2004 – 2006 Panepistimion Ioanninon Diploma, Mathematics 1997 – 2004 Odpovedať Hodnotiť:

Response time Od reg.: _Kozec_ | Pridané: 5.3.2014 18:49 $ pacman -Q|grep tls gnutls 3.2.12-1 lib32-gnutls 3.2.12-1 Ved preto :) Odpovedať Známka: 4.0 Hodnotiť:

Re: Response time Od: Gabriel. | Pridané: 5.3.2014 19:02 Archanjel Odpovedať Známka: -1.4 Hodnotiť:

fsfdafdsf Od: dfdfsfasdfas | Pridané: 5.3.2014 21:43 co je na Linuxe bug je na windows ficurka Odpovedať Známka: 4.3 Hodnotiť:

Dôvod zavedenia \"chyby\" Od: obyčajne | Pridané: 6.3.2014 8:49 Chyba bola IMHO v kóde pravdepodobne urobená schválne. iOS aj GnuTLS. Skutočnosť je taká, že certifikáty bežnému človeku len "komplikujú internetovanie". Keďže väčšina certifikátov je generovaná systémom "podpísal sám seba" a správne aplikovanými kontrolami by neprešla (neoverený certifikát), používateľovi by sa až príliš často zobrazovala pri pokuse komunikovať cez SSL chyba. Jednoducho z praktických dôvodov sa overovanie "málinko" hacklo-zjednodušilo, aby bol programček "user friendly" a WEB stránky zobrazil. Aj keď si to ten Grék opravil sám, ešte to neznamená, že v tom žiadna národná organizácia nemá prsty. Odpovedať Známka: -1.4 Hodnotiť:

Re: Dôvod zavedenia \\ Od: miro j. | Pridané: 6.3.2014 10:30 No neviem, jak pozeram tak pozeram vacsina stranok ma certifikaty podpisane vierohodnymi autoritami...navyse, clovek co vyzaduje bezpecnost tak pri pristupe na SSL zabezpecenu stranku si pozrie aj to ci je certifikat podpisany doveryhodnou autoritou... Odpovedať Známka: 10.0 Hodnotiť:

Re: Dôvod zavedenia \\\\ Od: obyčajne | Pridané: 6.3.2014 20:44 Čo je podľa teba dôveryhodná certifikačná autorita (CA)? Nemusí byť definícia. Stačí sa nad tým zamyslieť. Počítač však nemá ani s tým problém. Dôveryhodná pre počítač je CA, ktorá je v jeho databáze. No a keď tam nie je, tak to môže byť trebárs aj stvoriteľ sveta a napriek tomu systém zahlási chybu o nedôveryhodnej CA a tiež certifikáte ňou podpísanom. Zoznam dôveryhodných CA má každý operačný systém iný a aj ten sa mení. Stačí, ak si poskytovateľ web služieb vyberie nevhodnú CA a jeho zákazníkom bude pri prístupe na stránku hlásiť chybu = odliv zákazníkov. Odpovedať Hodnotiť:

Re: Dôvod zavedenia \\\\ Od: obyčajne | Pridané: 6.3.2014 20:55 Preto si myslím, že to preskakovanie kontrol CA a pravosti certifikátov bolo z praktických dôvodov (dostupné aplikácie/ WEB stránky s aspoň kvázi bezpečnou výmenou dát). Tobôž toto platilo pred v roku 2003 (viď článok), kedy databázy v operačných systémoch okrem Verizon a par iných gigantov neobsahovali toho veľa. A už vôbec nie všetky národné CA. Odpovedať Hodnotiť:

Pridať komentár