الثلاثاء، 3 يونيو، 2014

ثغرة في مكتبة GnuTLS تهدد الخوادم

السلام عليكم و رحمة الله






إكتشف باحث في شركة Codenomicon ثغرة في مكتبة GnuTLS تؤدي إلى توقف برنامج العميل من جهة المستخدم أو تشغيل أوامر من جهة الخادم، هذه الثغرة من نوع buffer overflow سببها أن المكتبة لا تفحص حجم رقم الجلسة في بروتوكل SSL/TLS عند عملية المصافحة بين الخادم و العميل.
الخبر الجيد هنا أن مكتبة GnuTLS ليست مشهورة جدا كأختها OpenSSL مما يجعل إستغلال هذه الثغرة لا يجد ضحايا كثر، لكن الخبر السيء هو أن الكثير من التوزيعات تعتمد عليها في تحزيم البرامج بسبب رخصتها.
يذكر أن نفس الشركة هي التي قامت بإكتشاف ثغرة heartbleed في المكتبة OpenSSL.
الحل:
 إما الترقية إلى إحدى هذه النسخ التي تم فيها إصلاح العلة: GnuTLS 3.3.3, GnuTLS 3.2.15 , GnuTLS 3.1.25، لكن هذا سيتطلب إعادة تنصيب جميع البرامج التي تعتمد على GnuTLS أو الإنتقال إلى LibreSSL التي هي فرع من OpenSSL، حاليا يقوم عليها مطوروا OpenBSD، حيث حسب قولهم أنهم قامو بتنقيح هذه النسخة و تم نزع أكثر من 80000 سطر برمجي لم يعد ضروري، بالإضافة إلى فحصها من أي ثغرات. 

في رأيك ماهي مكتبة التشفير القادمة التي ربما سنرى فيها ثغرة أيضا؟