BR-Linux.org

Dois meses após divulgar o bug Heartbleed, no OpenSSL, a mesma empresa Codenomicon encontrou mais uma falha grave em implementações open source do SSL: desta vez é no GnuTLS.

O GnuTLS é usado em dezenas de pacotes de várias distribuições Linux populares, bem como em outros sistemas operacionais. Com a falha, um servidor malicioso pode forçar a execução de código arbitrariamente injetado pelo próprio servidor nas máquinas que tentarem se autenticar junto a ele.

As versões 3.1.25, 3.2.15 e 3.3.4 do GnuTLS, lançadas na sexta-feira, corrigem a falha, mas a mera instalação delas pode não ser suficiente para resolver as vulnerabilidades: pode ser necessário atualizar aplicativos que tenham sido compilados com suporte ao GnuTLS. (via arstechnica.com - “Critical new bug in crypto library leaves Linux, apps open to drive-by attacks | Ars Technica”)