H GnuTLS is a widely used bookcase κρυπτογραφίας της SSL/TLS, Είναι open source και βρέθηκε να είναι ευάλωτη σε μια ευπάθεια buffer overflow που θα μπορούσε να γίνει exploited για να κρασάρει τα TLS clients ή ενδεχομένως για να εκτελεστεί maliciousς codes in the systems it is running on.
The GnuTLS library is applied to secure sockets layer (SSL) and transport layer security (TLS) on computers, servers to provide encrypted communication over unsecure channels.
Το bug CVE-2014-3466, που ανακαλύφθηκε από τον Joonas Kuorilehto της εταιρείας ασφάλειας Codenomicon, την ίδια εταιρεία ασφαλείας που ανακάλυψε τη μεγαλύτερη ευπάθεια του Internet, το Heartbleed. Αντίθετα με το Heartbleed, η βιβλιοθήκη GnuΤLS δεν είναι τόσο ευρέως διαδεδομένη όπως την OpenSSL.
The vulnerability of GnuTLS lies in the way that GnuTLS analyzes the period ID from the server response at the beginning of a TLS communication. It does not control the length of the session ID in the ServerHello message, and allows a malicious server to send an excessively long value in order to overrun the buffer or buffer overflow.
Red Hat has already analyzed the vulnerability and has released a patch. For more technical details read here.
