Vakava haavoittuvuus GnuTLS-kirjastossa | Traficom
Siirry pääsisältöön
Kyberturvallisuuskeskus
Ilmoita tietoturvaloukkauksesta
Ilmoita tietoturvaloukkauksesta
Ilmoita tietoturvaloukkauksesta

Vakava haavoittuvuus GnuTLS-kirjastossa

9. kesäkuuta 2020 klo 14.03

GnuTLS 3.6.x -versiot käyttävät sessioavaimia virheellisellä tavalla. Haavoittuvuus mahdollistaa pahimmillaan välimieshyökkäyksen avulla autentikoinnin ohittamisen TLS 1.3:ssa sekä salauksen purkamisen TLS 1.2:ssa.

GnuTLS on avoimen lähdekoodin salauskirjasto, jota käytetään TLS, SSL ja DTLS -protokollien toteutukseen. GnuTLS:ää käyttävät muun muassa GNOME, Exim, Weechat, Synology DiskStation Manager sekä OpenConnect.

GnuTLS versiot 3.6.x ennen versiota 3.6.14 käyttävät sessioavaimia virheellisellä tavalla. GnuTLS-palvelimet voivat käyttää muiden GnuTLS-palvelinten luomia sessioavaimia ilman pääsyä alkuperäisen yhteyden salausavaimeen. Tämän vuoksi hyökkääjä voi suorittaa välimieshyökkäyksen ja saada haltuunsa aiemmin toiseen palvelimeen salatun yhteyden sekä TLS 1.2:n tapauksessa purkamaan aiemman salatun liikenteen. 

Haavoittuvuuden kohde

GnuTLS-versiot 3.6.4 (julkaistu 24.9.2018) - 3.6.13-2.

Mistä on kysymys?

Päivitä GnuTLS versioon 3.6.14 tai uudempaan.

Mitä voin tehdä?

Palvelimet ja palvelinsovellukset

Palvelinten ja palvelinohjelmistojen haavoittuvuudet koskevat esimerkiksi sähköisten asiointipalvelujen tarjoajia. Tyypillisiä kohteita ovat palvelinten käyttöjärjestelmät ja www- tai sähköpostipalvelinohjelmistot kuten esimerkiksi SunOS, Linux, Apache, IIS tai Sendmail.

Etäkäyttö

Etäkäyttöisesti tehtävän hyökkäyksen voi tehdä tietoverkkoyhteyden tai vastaavan kautta ilman että pääsee itse kohteena olevan järjestelmän luokse.

Suojauksen ohittaminen

Suojauksen ohittamisella tarkoitetaan sitä, että haavoittuvuutta hyväksikäyttämällä ohitetaan järjestelmän käytön rajoittamiseksi tehty suojaus esimerkiksi liikennöimällä palomuurin ohi suojattuun verkkoon.

Luottamuksellisen tiedon hankkiminen

Luottamuksellisten tietojen hankkiminen kohdejärjestelmästä edellyttää sitä, että sen tietosisältöä, esimerkiksi kiintolevylle talletettuja tiedostoja, pääsee lukemaan luvatta ja välittämään edelleen.

Haavoittuvuuden havainnollistava esimerkkikoodi

Proof of concept.

Korjaava ohjelmistopäivitys

Ohjelmisto- tai laitevalmistaja julkaisee tavallisesti pian uuden version tai osittaisen päivityksen ohjelmistoon tai käyttöjärjestelmään sen jälkeen kun haavoittuvuus on tullut julki. Päivitys voi olla saatavilla samalla kun haavoittuvuuskin julkaistaan, mutta usein sitä joudutaan odottelemaan jonkin aikaa.