新闻链接：aeeK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4y4G2k6Y4c8Q4x3X3g2&6k6i4y4C8P5g2)9J5k6h3y4G2L8g2)9J5c8Y4y4W2j5%4g2J5K9i4c8&6i4K6u0r3y4o6N6Q4x3V1j5K6y4K6f1$3x3e0l9@1y4#2)9J5k6i4y4Z5N6r3#2D9

   新闻时间：2014-06-06 09:47

   新闻正文：
安全研究人员近日再次发现安全通讯库GnuTLS的重大漏洞，该漏洞可能使黑客能够远端执行恶意代码。这已经是GnuTLS今年第二起安全漏洞事件。今年3月，Mavrogiannopoulos曾通报GnuTLS一项goto cleanup重大漏洞，可使网站服务器误信黑客伪造的SSL凭证而放行允许控制网站。
GnuTLS
　　GnuTLS 是一个加密协议库，实现了 SSL、TLS 和 DTLS 协议和相关技术，提供了简单的 C 语言编程接口用来访问这些安全通讯协议，提供解析和读写 X.509、PKCS #12、OpenPGP 和其他相关结构。特点是可移植性和高效。虽然不像之前传出重大漏洞的OpenSSL函数库那么流行，不过GnuTLS的使用范围也相当广泛，包含在Red Hat、Ubuntu及Debian等Linux操作系统及350种相关软件。
　　上周五Codenomicon安全人员Joonas Kuorilehto首先通报GnuTLS漏洞，不过很快由Red Hat安全研发人员Nikos Mavrogiannopoulos发布修补程式，以修补受影响的GnuTLS 3.3.3、GnuTLS 3.2.15及GnuTLS 3.1.25。后来 GnuTLS开发人员又发布更新版GnuTLS 3.3.4，以修补另一项与安全无关的瑕疵。
　　Red Hat的安全博客提示，CVE-2014-3466漏洞存在于Server Hello封包的session ID值的解析过程，黑客在TLS/SSL handshake时，从服务器送入非常长的session ID 值进行缓冲溢位(buffer overflow)攻击就可能导致毁损，进而在用户端系统执行任意代码。Red Hat将该漏洞安全风险列为严重等级。
　　今年4月，OpenSSL出现HeartBleed漏洞，因OpenSSL的普及性及攻击不易留下痕迹，对全球网络传输安全造成重创，被安全专家视为有史以来最重大的网络安全漏洞事件。

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课