GnuTLS(libgnutls)に脆弱性

このエントリーをはてなブックマークに追加
1番組の途中ですがアフィサイトへの転載は禁止です

GnuTLSに脆弱性、主要なLinuxディストリビューションに影響
攻撃者が不正な証明書を使って証明書チェックをかわし、正規のWebサイトやサーバを装って中間者攻撃を仕掛けることが可能だという。
[鈴木聖子,ITmedia]

 Red Hatなどの主要Linuxディストリビューションに使われているオープンソースのSSL/TLSライブラリ「GnuTLS」に脆弱性が見つかった。
通信に割り込む「中間者攻撃」に使われる恐れがあることから、米US-CERTは3月5日にセキュリティ情報を出し、脆弱性解決のためのアップデートを適用するよう呼び掛けている。

 GnuTLSチームのアドバイザリーによると、脆弱性はGnuTLSの証明書チェック機能に存在する。
この問題を突いて細工を施した「X509」証明書を利用すれば、証明書チェックをかわし、正規のWebサイトやサーバを装って中間者攻撃を仕掛けることが可能だという。

 脆弱性を修正するためには、GnuTLS最新バージョンの3.2.12/3.1.22にアップデートするか、2.12.x向けのパッチを適用する必要がある。

 この脆弱性は、Red HatでGnuTLSの監査中に見つかったといい、同社も「Red Hat Enterprise Linux 6」向けにGnuTLSの脆弱性を修正するアップデート版のパッケージを公開した。
GnuTLSはほかにもDebianやUbuntuなどのLinuxディストリビューションにも使われている。

http://www.itmedia.co.jp/enterprise/articles/1403/06/news038.html

公式
http://www.gnutls.org/
ftp://ftp.gnutls.org/gcrypt/gnutls/v3.2/gnutls-3.2.12.1.tar.xz
ftp://ftp.gnutls.org/gcrypt/gnutls/v3.1/gnutls-3.1.22.tar.xz
2番組の途中ですがアフィサイトへの転載は禁止です:2014/03/06(木) 19:43:54.82 ID:xwDLwIDI0
俺の糞サーバにはアクセスしてこないだろうから無防備でいいや
3番組の途中ですがアフィサイトへの転載は禁止です:2014/03/06(木) 19:45:12.59 ID:x3YUdh280
LinuxのSSLが死んでるってこと?
4番組の途中ですがアフィサイトへの転載は禁止です:2014/03/06(木) 19:46:24.80 ID:bjFz+b6m0
>>2-3
お前らの糞鯖が踏み台にされてどこかを攻撃、お前らがゆうちゃんになるって事
5番組の途中ですがアフィサイトへの転載は禁止です
よく見つけるよなあ