安全研究人員發現,加密函式庫GnuTLS近日再發現漏洞,可能使駭客得以遠端執行惡意程式碼。

GnuTLS是SSL、TLS及DLS協定的開放源碼實作,雖然不像之前傳出重大漏洞的OpenSSL函式庫那麼受歡迎,不過使用也相當廣泛,包含在像是Red Hat、Ubuntu及Debian等Linux作業系統及350種相關軟體。

上周五Codenomicon安全人員Joonas Kuorilehto首先通報GnuTLS漏洞,不過旋即由Red Hat安全研發人員Nikos Mavrogiannopoulos發佈修補程式,以修補受影響的GnuTLS 3.3.3、GnuTLS 3.2.15及GnuTLS 3.1.25。後來 GnuTLS開發人員又釋出更新版GnuTLS 3.3.4,以修補另一項與安全無關的瑕疵。

根據Red Hat的安全部落格,CVE-2014-3466漏洞存在於Server Hello封包的session ID值的解析過程,駭客在TLS/SSL handshake時,從伺服器送入非常長的session ID 值進行緩衝溢位(buffer overflow)攻擊就可能導致毀損,進而在用戶端系統執行任意程式碼。Red Hat將該漏洞安全風險列為嚴重等級。

這已是GnuTLS今年第二起安全漏洞。三月時,Mavrogiannopoulos也曾通報GnuTLS一項goto cleanup重大漏洞,可使網站伺服器誤信駭客偽造的SSL憑證而放行其存取網站。

今年四月OpenSSL出現HeartBleed漏洞,因OpenSSL的普及性及攻擊不易留下痕跡,重創全球網路傳輸安全,被安全專家視為有史以來最重大的網路安全漏洞。(編譯/林妍溱)

 

熱門新聞

Advertisement