Mit gleich zwei Veröffentlichungen schließt das GnuTLS-Projekt mehrere Sicherheitslücken und behebt außerdem einen Fehler, der für Verbindungsabbrüche sorgen konnte.

Bereits mit der Version 2.2.4 schlossen die Entwickler drei Lecks in der Verschlüsselungsbibliothek GnuTLS, brachten jedoch auch einen neuen Fehler mit in die Release. Bei den durch 2.2.4 geschlossenen Sicherheitslücken handelte es sich nach Angaben des Sicherheitsdienstleisters Secunia um sehr kritische Schwachstellen.

Die drei Fehler konnten unter anderem für einen Denial-of-Service-Angriff missbraucht werden: Ein Vorzeichenfehler in der Funktion “_gnutls_ciphertext2compressed()”, die sich in “lib/gnutls_cipher.c” befindet, erzeugte einen Schreib-/Lesefehler und konnte in Folge dessen zum Absturz der betroffenen Anwendung führen. Zwei weitere Fehler traten bei der Verarbeitung der “Client Hello”-Nachricht auf – der erste konnte über eine manipulierte “Server Name”-Erweiterung über einen Grenzfehler einen Heap-based-Bufferoverflow hervorrufen, den ein Angreifer für die Ausführung beliebigen Codes nutzen konnte. Beim zweiten Fehler handelte es sich um eine so genannte Null-Zeiger-Dereferenz, die zum Absturz der Anwendung führen konnte. Die Schwachstellen wurden für alle GnuTLS-Versionen vor 2.2.4 bestätigt.

Die noch am gleichen Tag veröffentliche Version 2.2.5 schließt Fehler, die den Entwicklern in 2.2.4 unterlaufen sind, in erster Linie einen Bug, der für Verbindungsabbrüche sorgte.

Die stabile Release und Patches für ältere, noch im Einsatz befindliche Versionen stehen auf diversen Spiegelservern zum Download bereit. Weitere Informationen zu den Lücken geben die Entwickler auf der GnuTLS-Website.