Odprtokodni programi so ranljivi za prisluškovanje

Kot vse kaže, se je v eno izmed ključnih knjižnic, ki je del številnih priljubljenih odprtokodnih programov prikradla napaka, zaradi katere so tovrstne rešitve močno ranljive za prisluškovanje. Zaradi napake v knjižnici GnuTLS, je morebitnim napadalcem menda relativno enostavno zaobiti varnostne mehanizme in šifriranje podatkov pri domnevno varnih sejah SSL in TLS.

Napaka je specifično v mehanizmu za avtentikacijo TLS certifikatov, bolj znanih kot certifikati X509. Zaradi napake knjižnica pod določenimi pogoji ne zavrne napačnih certifikatov, kar daje možnost za lažno avtentikacijo. Napako je odkril Nikos Mavrogiannopoulos iz družbe Red Hat, ocenjujejo pa da je s tem prizadetih čez 200 izmed najbolj priljubljenih odprtokodnih programov, med katerimi distribucije Linuxa Red Hat, Debian in Ubuntu. Po nekaterih ocenah naj bi se napaka v kodiranju prikradla v kodo že nekje okoli leta 2005, tako da je o razsežnostih tega spoznanja težko govoriti, prav tako pa še ni dokazov o vdorih, ki bi bili posledica te napake.

Razvijalci knjižnice GnuTLS so medtem v posebni noti že obvestili vse razvijalce in pozivajo uporabnike k nadgradnji na različico 3.2.12, ki napako odpravlja. Zanimivo, da je odkrita ranljivost zelo sorodna podobni, ki se je nedavno pripetila družbi Apple v njihovih operacijskih sistemih Mac OS X in iOS. Apple jih je zaradi tega nedavno osvežili z manjšo nadgradnjo.