Ginzinger Security Alert: Schwere Sicherheitslücke in GnuTLS (CVE-2020-13777)

In GnuTLS wurde eine schwerwiegende Sicherheitslücke entdeckt. Die Lücke kann ausgenutzt werden um TLS Verbindungen zu entschlüsseln bzw. mitzulesen wenn GnuTLS verwendet wird. Weitere Details zu dieser Lücke finden Sie hier:

• Heise Online: Massives Sicherheitsproblem in GnuTLS erlaubt Mitlesen von Kommunikation
• GitLab: CVE-2020-13777: TLS 1.3 session resumption works without master key, allowing MITM

Betroffen davon sind folgende GELin Releases

• 19.04 (gnutls-3.6.6)
• 19.10 (gnutls-3.6.7.1)
• 20.04 (gnutls-3.6.13)

Direkt betroffene Komponenten in GELin sind libsoap (C SOAP Bibliothek) und libmicrohttp (C HTTP Bibliothek). Es kann aber nicht ausgeschlossen werden, dass weitere Komponenten in bestimmten Usecases/Konfigurationen ebenfalls GnuTLS verwenden und für die Schwachstelle anfällig sind.

Wir schlagen Ihnen folgende Vorgangsweise vor:

• Für Projekte, in denen Connectivity und speziell TLS eine Rolle spielen empfehlen wir Ihnen dringend ein Update.
• Wenn Sie nicht aktuell und unmittelbar betroffen sind, dann sollten wir gemeinsam eine Vorgangsweise entscheiden, um trotzdem zeitnah ein Update Ihrer Systeme in Betracht zu ziehen.
• Für das aktuelle Ginzinger Release GELin 20.04 gibt es ab 22.6.2020 eine Korrektur (20.04a) und kann von Kunden mit Wartungsvertrag kostenlos angefordert werden.
• Notwendige Anpassungen in älteren Versionen können als Dienstleistung durchgeführt werden.

Ihre bekannten Ansprechpartner stehen Ihnen für weitere Unterstützung gerne zur Verfügung.