Linux 15.036 Themen, 107.107 Beiträge

News: Linux - Contra Monopole

Kryptografiemodul GnuTLS: Sicherheitslücke schon seit 2004?

Olaf19 / 11 Antworten / Baumansicht Nickles

Eine Sicherheitslücke im Kryptografiemodul GnuTLS, die angeblich bereits seit bald 10 Jahren offensteht, ist gerade geschlossen worden. Bereits 2008 wurde vor diesem Modul gewarnt, wegen des angeblich "kaputten" Codes. Weitere Einzelheiten im Artikel bei der ZEIT.

(...für die Programmierer unter euch: https://www.gitorious.org/gnutls/gnutls/commit/0fba2d908da6d0df821991ea5fdbeeda0f4ff089#lib/x509/verify.c)

Quelle: www.zeit.de

Olaf19 meint:

Erstaunlich, dass so etwas nach so langer Zeit erst auffällt. Wie viele unentdeckte Sicherheitslücken wohl in unseren sämtlichen (anderen) Windows-/Mac-/Linux-Systemen und Anwendungen schlummern?!

Hinweis: Vielen Dank an Olaf19 für das Verfassen der News. Diese News stammt von einem Nickles.de-Teilnehmer. Die Nickles.de Redaktion übernimmt keine Verantwortung für den Inhalt und die Richtigkeit dieser News.

Bei Nickles.de kann übrigens jeder mitmachen und News schreiben. Dazu wird einfach in einem Forum ein neues Thema begonnen und im Editor die Option "News" gewählt.

Die Welt ist ein Jammertal ohne Musik. Doch zum Glueck gab es Bach, Beethoven, Haendel und Goethe (Helge Schneider)
bei Antwort benachrichtigen
Acader Olaf19 „Kryptografiemodul GnuTLS: Sicherheitslücke schon seit 2004?“
Optionen
Wie viele unentdeckte Sicherheitslücken wohl in unseren sämtlichen (anderen) Windows-/Mac-/Linux-Systemen und Anwendungen schlummern?!

Von Menschenhand geschrieben und gebaut bleiben gewisse Fehler nun mal nicht aus. Daran wird sich auch in Zukunft nichts ändern und kann immer passieren. Viel wichtiger ist aber das diese Löcher nach Entdeckung dann auch rechtzeitig gestopft werden bevor Schaden entsteht. Nicht immer wird es aber auch gleich eine befriedigende Lösung geben, denn die Ungereimtheiten im Kryptografiemodul GnuTLS wurden ja schon vor nunmehr 6 Jahren entdeckt. Unklar bleibt warum dann nicht auf GnuTLS seitens der Entwickler verzichtet wurde.

 

MfG Acader

bei Antwort benachrichtigen
1stervon13 Acader „Von Menschenhand geschrieben und gebaut bleiben gewisse ...“
Optionen

Da ist Überhaupt nicht unklar Acander,
Programmieren und veröffentlichen kostet nun mal Zeit und Geld!

Alles andere ist Naiv - egal ob frei oder nicht.

bei Antwort benachrichtigen
Acader 1stervon13 „Da ist Überhaupt nicht unklar Acander, Programmieren und ...“
Optionen
Programmieren und veröffentlichen kostet nun mal Zeit und Geld!

Das muß nicht unbedingt immer so sein.

Es gibt viele Programmierer welche genug Zeit haben und auch Geld steht dabei nicht immer im Vordergrund. Die wahren Gründe liegen viel tiefer, zumal es sich hier über einen Zeitraum von über 6 Jahren handelt.

MfG Acader

bei Antwort benachrichtigen
1stervon13 Acader „Das muß nicht unbedingt immer so sein. Es gibt viele ...“
Optionen

hmm, recht oberflächlich deine Antwort

bei Antwort benachrichtigen
Olaf19 1stervon13 „hmm, recht oberflächlich deine Antwort“
Optionen
recht oberflächlich deine Antwort

Nun ja - "Programmieren und veröffentlichen kostet nun mal Zeit und Geld" ist aber auch nicht gerade eine tiefschürfende Erkenntnis... ^^

CU
Olaf

Die Welt ist ein Jammertal ohne Musik. Doch zum Glueck gab es Bach, Beethoven, Haendel und Goethe (Helge Schneider)
bei Antwort benachrichtigen
1stervon13 Olaf19 „Nun ja - Programmieren und veröffentlichen kostet nun mal ...“
Optionen

Aber die einzige und richtige Antwort.

bei Antwort benachrichtigen
Acader 1stervon13 „Aber die einzige und richtige Antwort.“
Optionen
Aber die einzige und richtige Antwort.

Und woher willst du das genau wissen?

Ich denke hier spielte Geld überhaupt keine Rolle sondern man hatte aus einer gewissen Unerfahrenheit die Sache gar nicht so ernst genommen was von Red Hat ja auch so eingeschätzt wurde. Wieso sollte denn über so einen langen Zeitraum dann kein Geld und Zeit vorhanden sein? (schrieb ich schon)

Aber sicherlich kannst du uns das hier mal genauer begründen  weshalb deine Antwort die einzig richtige sein soll.

MfG Acader

bei Antwort benachrichtigen
1stervon13 Acader „Und woher willst du das genau wissen? Ich denke hier ...“
Optionen

Ganz einfach, ich hab mit denen telefoniert. Da sind eben Bekannte von mir am arbeiten gewesen"

bei Antwort benachrichtigen
Acader 1stervon13 „Ganz einfach, ich hab mit denen telefoniert. Da sind eben ...“
Optionen

alles klar !!!

MfG Acader

bei Antwort benachrichtigen
gelöscht_189916 Olaf19 „Kryptografiemodul GnuTLS: Sicherheitslücke schon seit 2004?“
Optionen

Hi

Bereits 2008 wurde vor diesem Modul gewarnt, wegen des angeblich "kaputten" Codes.


Ich bin da zwar nicht so bewandert, aber die Kritik an GnuTLS geht sogar noch weiter zurück:

http://blog.fefe.de/?ts=adeb109b

Wo wir gerade bei TLS sind, damit gibt es noch einen weiteren Bug:

http://blog.fefe.de/?ts=adeb1bd6

http://www.heise.de/security/meldung/Triple-Handshake-hebelt-TLS-aus-2132784.html?wt_mc=rss.security.beitrag.atom

Das Software-Lücken oft erst nach langer Zeit entdeckt oder besser bekannt werden, halte ich nicht für ungewöhnlich. Eine Lücke ist erst dann eine Lücke, wenn sie erkannt ist. Das gilt sowohl für den, der sie ausnutzt, ebenso wie für den, der davon betroffen ist.
Die eigentliche Frage bei der ganzen Sache ist dann, wie schnell diese gefixt wird und ob sie nicht vielleicht sogar gerne offen gehalten oder sogar bewusst eingebaut wird/wurde.

bei Antwort benachrichtigen
Olaf19 gelöscht_189916 „Hi Ich bin da zwar nicht so bewandert, aber die Kritik an ...“
Optionen
Das Software-Lücken oft erst nach langer Zeit entdeckt oder besser bekannt werden, halte ich nicht für ungewöhnlich. Eine Lücke ist erst dann eine Lücke, wenn sie erkannt ist. Das gilt sowohl für den, der sie ausnutzt, ebenso wie für den, der davon betroffen ist.

Zweifellos. Richtig ist aber auch: je länger eine Lücke offensteht, desto größer ist die Wahrscheinlichkeit, dass sie irgendwann entdeckt wird. Und 10 Jahre sind da doch schon eine verdammt lange Zeit.

Kleine Einschränkung: Wenn jetzt noch Sicherheitslücken in, sagen wir mal, Windows 98 SE offen wären, hätten die gute Chancen, bis ans Ende aller Tage unentdeckt zu bleiben - einfach deshalb, weil sich mit Windows 98 heutzutage praktisch keiner mehr ernsthaft beschäftigt.

CU
Olaf

Die Welt ist ein Jammertal ohne Musik. Doch zum Glueck gab es Bach, Beethoven, Haendel und Goethe (Helge Schneider)
bei Antwort benachrichtigen