19.06.2020 | Aktuelles
Ginzinger Security Alert: Schwere Sicherheitslücke in GnuTLS (CVE-2020-13777)
Verwendete Tags:
Technik
Elektronik
Embedded System
Embedded Linux
Ginzinger Security Alert: Schwere Sicherheitslücke in GnuTLS (CVE-2020-13777)
In GnuTLS wurde eine schwerwiegende Sicherheitslücke entdeckt. Die Lücke kann ausgenutzt werden um TLS Verbindungen zu entschlüsseln bzw. mitzulesen wenn GnuTLS verwendet wird. Weitere Details zu dieser Lücke finden Sie hier:
- Heise Online: Massives Sicherheitsproblem in GnuTLS erlaubt Mitlesen von Kommunikation
- GitLab: CVE-2020-13777: TLS 1.3 session resumption works without master key, allowing MITM
Betroffen davon sind folgende GELin Releases
- 19.04 (gnutls-3.6.6)
- 19.10 (gnutls-3.6.7.1)
- 20.04 (gnutls-3.6.13)
Direkt betroffene Komponenten in GELin sind libsoap (C SOAP Bibliothek) und libmicrohttp (C HTTP Bibliothek). Es kann aber nicht ausgeschlossen werden, dass weitere Komponenten in bestimmten Usecases/Konfigurationen ebenfalls GnuTLS verwenden und für die Schwachstelle anfällig sind.
Wir schlagen Ihnen folgende Vorgangsweise vor:
- Für Projekte, in denen Connectivity und speziell TLS eine Rolle spielen empfehlen wir Ihnen dringend ein Update.
- Wenn Sie nicht aktuell und unmittelbar betroffen sind, dann sollten wir gemeinsam eine Vorgangsweise entscheiden, um trotzdem zeitnah ein Update Ihrer Systeme in Betracht zu ziehen.
- Für das aktuelle Ginzinger Release GELin 20.04 gibt es ab 22.6.2020 eine Korrektur (20.04a) und kann von Kunden mit Wartungsvertrag kostenlos angefordert werden.
- Notwendige Anpassungen in älteren Versionen können als Dienstleistung durchgeführt werden.
Ihre bekannten Ansprechpartner stehen Ihnen für weitere Unterstützung gerne zur Verfügung.
Verwendete Tags: