Ars Technica

Arstechnicaは6月3日(米国時間)、「Critical new bug in crypto library leaves Linux, apps open to drive-by attacks|Ars Technica」においてGnuTLSにセキュリティ脆弱性が存在したことを伝えた。このセキュリティ脆弱性を利用されると、細工されたサーバにアクセスしたGnuTLSライブラリを使用するソフトウェアはリモートの攻撃者によって任意のコードが実行されるといった攻撃を受ける危険性がある。

このセキュリティ脆弱性はGnuTLSの実装上の問題で、入力されるデータの長さを適切にハンドリングしなかったことでバッファオーバーフローが発生することが原因とされている。GnuTLSのバージョン3.1.25、3.2.15、3.3.4で修正されているため、GnuTLSを修正版へアップグレードするとともに、GnuTLSを使用しているライブラリやソフトウェアに関しても同時にアップデートしておくことが推奨される。

OpenSSLに存在したセキュリティ脆弱性(通称HeartBleed)が発覚してから2ヶ月後、GnuTLSにもセキュリティ脆弱性が見つかったことになる。OpenSSLもGnuTLSもオープンソースソフトウェアやプロプライエタリなソフトウェアにとって重要な存在であるだけに、オープンソースを活用しながらもどうやって安全性を確保するか、関係するベンダやプロジェクトはさまざまな対策を模索しはじめている。