来源:ZDNet安全频道
GnuTLS库中的一个源代码错误可能证明是对Linux用户隐私的一个严重威胁,因此开发者紧急修复这个安全漏洞。GnuTLS库是大量的不同Linux发布版软件用于处理安全互联网连接的一个开源软件构件。
GnuTLS开发者Nikos Mavrogiannopolous本周一在一个邮件列表消息中宣布,他已经对源代码使用了补丁,修复了这个漏洞。这个漏洞能够让攻击者在验证证书的时候欺骗GnuTLS的系统,把安全的连接暴漏给窃听者。
通过创建一个具体类型的假冒证书,攻击者能够欺骗GnuTLS接受它为真正的证书,批准访问安全的连接。这样,入侵者就能够以纯文本方式监视经过这个连接的通讯流量,甚至能够嵌入自己的代码,从而打开进一步攻击的通道。
Mavrogiannopolous说,这个软件瑕疵是“令人难堪的”。他说,这个问题是一位审计人员代表他的雇主Red Hat公司进行性能审计时发现的。据LWN.net网站发布的安全公告称,一些主要Linux发布版已经使用了Mavrogiannopolous提供的 补丁。Ubuntu、Debian、Fedora、Red Hat、甲骨文、Slackware和SUSE等公司已经发布了旨在修复这个漏洞的软件更新。
这个消息是在苹果修复其软件中的一个同样的安全漏洞几天之后传出来的。苹果软件中的那个安全漏洞能够让iOS和OS X用户遭到类似的中间人攻击。由于苹果产品有广泛的消费者用户,那个“goto fail”问题受到了广泛的关注。一些评论家甚至把苹果明显迟缓地修复这个安全漏洞归咎于邪恶的动机。