Useista Linuxeista löytyi vakava tietoturva-aukko

Useiden Linux-jakelupakettien käyttämästä GnuTLS-kirjastosta on löytynyt vakava tietoturva-aukko. Tietoturvaongelma on samantyyppinen, kuin Applen iOS- ja OS X -käyttöjärjestelmistä aiemmin löytynyt tietoturva-aukko SSL-salauksessa. Erikoiseksi ongelman tekee se, että tietoturva-aukko on ollut ilmeisti olemassa jo vuodesta 2005, mutta sitä ei ole huomattu huolimatta kirjaston vapaasta lähdekoodista.

Suosituista Linux-jakelupaketeista ainakin Red Hat Enterprise Linux ja Ubuntu käyttävät GnuTLS-kirjastoa, kun taas esimerkiksi Android käyttää OpenSSL:ää. Linuxien lisäksi GnuTLS-kirjastot toimivat Windows-käyttöjärjestelmissä ja Unix-tyyppisissä käyttöjärjestelmissä kuten Applen OS X. Kirjastoa oletuksena käyttävien Linux-jakelupakettien ulkopuolella kyse on kuitenkin vain yksittäisten GnuTLS-kirjastoa käyttävien ohjelmien tietoturva-aukoista, eikä käyttöjärjestelmätason ongelmasta.

GnuTLS-kirjaston tehtävänä on hoitaa SSL-, TLS- tai DTLS-protokollan mukainen salattu yhteys tietokoneesta internettiin. Nyt kirjastosta on kuitenkin löytynyt useita aukkoja, joilla hyökkääjä voi pakottaa salauksesta vastaavan GnuTLS:n hyväksymään väärennetyn X.509 SSL/TLS-sertifikaatin. Väärennetyn sertifikaatin hyväksyttämisen myötä hyökkääjä voi saada käsiinsä arkaluontoista tietoa käyttäjän luullessa käyttävänsä salattua, turvallista yhteyttä.

Ongelmaan on onneksi jo korjaus, sillä Nikos Mavrogiannopoulos julkaisi edellispäivänä uuden GnuTLS 3.2.12 -version, joka korjaa kirjastossa pitkään olleen tietoturva-aukon. Uusi versio tuo mukanaan myös joukon uusia ominaisuuksia ja muita korjauksia. Ubuntu- ja Linux Mint -jakelupaketteja käyttävät saavat huomautuksen päivityksestä automaattisesti, mutta esimerkiksi Red Hat Enterprise Linuxia käyttävät tahot joutuvat päivittämään uuteen versioon manuaalisesti.

Tom’s Guide, Critical Linux Flaw Threatens More Systems Than You Think

gmane.org, gnutls 3.2.12 GNUTLS SA 2014 2