【緊急】GnuTLSに絶望的な脆弱性。RedHat,Debian,Ubuntuは早急にFreeBSDにアップデートせよ。

Red Hat、Debian、Ubuntuなどの主要Linuxディストリビューションに使われているオープンソースの
SSL／TLSライブラリ「GnuTLS」に新たな脆弱性が見つかり、修正パッチがリリースされた。

悪用された場合、クライアントサイドで任意のコードを実行される可能性が指摘されている。

Red Hatが公開したセキュリティ情報によれば、この脆弱性に関する情報は5月28日に公開され、
6月3日までに修正パッチが公開された。

GnuTLSでTLS/SSLハンドシェイクのServer HelloパケットからのセッションIDを解析する方法に
脆弱性があり、不正なサーバを使って過度に長いセッションIDを送り付けることにより、GnuTLS経由で
接続しているTLS/SSLクライアントをバッファオーバーフロー状態に陥れ、クラッシュを誘発させたり
任意のコードを実行したりできてしまう恐れがあるという。

http://www.itmedia.co.jp/enterprise/articles/1406/04/news034.html

またかよ

おいおい。。

家のはGnuTLS入れてない
ｾﾌｾﾌ

えっFreeBSDにしなきゃだめですか

>>5
だめです。
2ch公式OSのFreeBSDにしてください。

＞不正なサーバを使って過度に長いセッションIDを送り付けることにより
また境界チェックしないポインタか

ワロタ

そう、FreeBSDならね

GnuTLSなんて、GNOMEとかLynxをデスクトップ環境で常用してる奴以外は関係ないだろ
普通のサーバーはOpenSSL使うんだから

>>10
OpenSSLはBSD原理主義なのでGNU信者には受け入れがたい云々でGnuTLSが出来た

GNUTLSとか使わないだろ普通

この脆弱性もなぜかNSAはすでに知ってて何年も前から利用してたんだろうな

Linuxは安全だったんじゃないの？(´・ω・`)
修正もすぐ来なかったんだね

>>13
たぶん半世紀は前から悪用してたに違いない。

>>13
むしろ最初から入れた可能性の方が高い
暗号化方式にまで関与してた位だからな

Portage 駆使して openssl 依存をとことん排除したのにこれだよ！

ネットサービスと密結合したシステムって嫌だなあ