В GnuTLS устранили двухлетнюю уязвимость

UserGate Open Conf 2026Open Conf — ежегодная конференция UserGate по сетевой безопасности. В программе: исследования рынка ИБ, продуктовая стратегия и новые релизы, кейсы внедрения от партнёров и тесты uNGFW. Для инженеров — мастер-классы, лабораторные, разбор пентестов и Threat Intelligence. Участвуйте лично или онлайн→ Ознакомиться
Реклама, 18+. ООО «Юзергейт», ИНН 5408308256

Екатерина Быстрова 10 Июня 2020 - 16:30

Домашние пользователи

Уязвимости программ

...

В GnuTLS устранили двухлетнюю уязвимость

На прошлой неделе разработчики устранили опасную уязвимость в GnuTLS, библиотеке с открытым исходным кодом для имплементации протокола TLS. Самое удивительное, что эта брешь существовала в коде почти два года, следовательно, сессии TLS 1.3 были уязвимы для атаки.

Проблема безопасности, описанная специалистами на площадке GitHub, позволяла серверам GnuTLS использовать билеты сессии, которые были выпущены ещё при прошлом соединении. При этом необязательно было задействовать функцию, которая генерирует закрытые ключи — gnutls_session_ticket_key_generate().

Проще говоря, потенциальный злоумышленник мог использовать данную уязвимость для обхода процесса аутентификации TLS 1.3. Баг впервые появился в GnuTLS 3.6.4 (релиз состоялся 24 сентября 2018 года), а устранили его в GnuTLS 3.6.14 (3 июня 2020 года).

Эндрю Айер, основатель SSLMate, в Twitter подробно расписал своё видение этого бага. По словам Айера, уязвимость создала сложная система ротации ключей.

Впрочем, Айер и раньше высказывался негативно по поводу GnuTLS, называя библиотеку «клоунской» имплементацией TLS.

Следующая главная новость »

Российские альтернативы Microsoft CA: чем заменить и не проиграть?
Регистрируйтесь на эфир!

Читайте также

В Белгородской области произошел сбой в ЦОД регионального правительства

Яков Шпунт 27 Марта 2026 - 14:30

Сбои оборудования Общее

В Белгородской области произошел сбой в ЦОД регионального правительства

Губернатор Белгородской области сообщил о сбое в работе центра обработки данных регионального правительства. Из-за этого у жителей возникли проблемы с получением ряда государственных услуг. Причиной стали многочисленные отключения и перебои с электроснабжением.

«Действительно, есть проблема записи к врачам через телефон 122, есть проблема с работой Центра обработки данных. Сейчас идут восстановительные работы», — сообщил Вячеслав Гладков в мессенджере MAX.

Для записи к врачам, как уточнил губернатор, открыт резервный канал в мессенджере MAX.

Ранее, в феврале 2026 года, кол-центр службы 122 уже приостанавливал работу по аналогичной причине — из-за энергоаварии. Тогда на восстановление ушло около суток.

Как отмечается, подобные инциденты нередко связаны с повреждением энергетической инфраструктуры. Энергообъекты остаются одной из частых целей атак дронов и ракет со стороны вооружённых сил Украины.

Российские альтернативы Microsoft CA: чем заменить и не проиграть?
Регистрируйтесь на эфир!

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2026. Все права защищены.