E-Mail-Verschlüsselung mit GnuTLS: Spione können mitlesen

Trend Micro warnt vor Codefehler bei der Zertifikatsverifizierung – Verbrecher und Spione geben sich als legitime Sender und Empfänger aus

Tags: #verschlüsselung #ssl #tls #gnutls #zertifikate #authentifizierung #cyberspione #cybergangster #man-in-the-middle #opensource #redhat #ubuntu #opensuse #trendmicro #news #nachrichten

Hallbergmoos, 2. April 2014. Die verschlüsselte Übertragung von E-Mail-Nachrichten per SSL oder TLS ist eine wichtige Waffe im Kampf gegen Cyberkriminalität und -spionage. Um ihre Mitarbeiter und Kunden zu schützen, greifen Unternehmen und Service-Provider dabei häufig auf die Open-Source-Verschlüsselungstechnik GnuTLS zurück. Deren Code zur Überprüfung von Zertifikaten ist jedoch fehlerhaft, so dass Online-Gangster und -Spione sich als legitime E-Mail-Empfänger und -Versender ausgeben und dadurch vertrauliche Informationen abfangen können.

Trend Micro hat den Fehler, der ursprünglich von Red Hat entdeckt worden war, untersucht und die Ergebnisse der Analyse auf seinem deutschsprachigen Blog veröffentlicht. Zahlreiche Varianten der Betriebssysteme Red Hat, Ubuntu und openSUSE unterstützen GnuTLS, so dass deren Anwender potenziell über den X.509-Code-Fehler angreifbar sind.

Unternehmen und Service-Provider, die ältere Versionen von GnuTLS zur Verschlüsselung der E-Mail-Übertragung einsetzen, sollten daher umgehend auf die Releasestände 3.1.22 oder 3.2.12 wechseln; für die Versionen 2.12.x steht zudem ein Patch zur Verfügung. Alle Anwendungen mit Link zur GnuTLS-Bibliothek müssen nach der Aktualisierung neu gestartet werden.