حفره امنیتی مهم در کتابخانه GnuTLS ، و تاثیر آن روی لینوکس

یک مشکل امنیتی مهم با نام CVE-2014-0092، در برخورد با اشتباهات کتابخانه امنیتی GNU، بر روی صدها بسته نرم افزاری از جمله RedHat، دبیان و توزیع‌های اوبونتو تاثیر گذاشته است.

با توجه به مشاوران امنیتی RedHat، یک خطای برنامه نویسی در GnuTLS  وجود دارد که در مسئولیت رسیدگی به برخی از اشتباهات با مشکل روبرو می‌شود که در طول راستی آزمایی گواهی X.509  رخ می‌دهد.

یک مهاجم می‌تواند از این نقص امنیتی، برای ایجاد گواهی‌های دستکاری شده استفاده کند که این امر می‌تواند توسط  GnuTLS به عنوان یک سایت انتخاب شده توسط مهاجم، معتبر پذیرفته شود.

این مشکل امنیتی در فایل verify.c  وجود دارد. به نظر می‌رسد که مقدار دهی نکردن متغیر "Result" باعث به وجود آمدن این مشکل می‌شود. همچنین یک خطای برنامه نویسی دیگر وجود دارد، جایی که در آن مقدار صادر کننده یا issuer باز می‌گردد و هنگامی که نتیجه آن کمتر از صفر باشد، به جای آنکه پذیرفته شود به پاکسازی موقعیت می‌رود.

به کاربران توصیه می‌شود که در صورت استفاده این کتابخانه، آنرا به آخرین نسخه به روز رسانی کنند./