Erst vor einer Woche sorgte Apples SSL-Lücke für Aufregung, nun hat auch die Linux-Community ein Kryptografie-Problem. "Es sieht ziemlich furchtbar aus", sagte der Informatikprofessor Matt Green der Nachrichtenseite Ars Technica.

Inzwischen wurde die Sicherheitslücke geschlossen. Die Entwickler empfehlen, das betroffene Kryptografiemodul GnuTLS sofort zu aktualisieren. Für große Linux-Distributionen wie Debian, Ubuntu und Red Hat liegen bereits Updates vor.


Entwickler hatten während einer Code-Analyse im Auftrag des Linux-Distributors Red Hat eine schwerwiegende Sicherheitslücke in GnuTLS entdeckt. Ähnlich wie Apples goto-fail-Lücke ermöglicht sie, dass Programme unter bestimmten Umständen fehlerhafte SSL- oder TLS-Zertifikate als gültig akzeptieren. Offenbar bestand die Sicherheitslücke in GnuTLS seit 2004.    

Solche Zertifikate weisen die Identität von Webseiten nach und ermöglichen verschlüsselte Verbindungen. Dank der Sicherheitslücke können Hacker die Zertifikate manipulieren und vorgeblich sichere und verschlüsselte Web-Verbindungen kapern.       

Betroffen sind unter anderem das populäre Desktop-Linux Ubuntu und die Serverdistribution Red Hat. Android benutzt für verschlüsselte Web-Verbindungen OpenSSL statt GnuTLS. Nutzer des mobilen Betriebssystems von Google haben von der Sicherheitslücke also nichts zu befürchten.

Mehr als 200 Programme betroffen

Nun spekulieren Nutzer, dass mehr als 200 Open-Source-Betriebssysteme und Programme betroffen sein könnten, darunter das Linux-Drucksystem CUPS und Teile der Linux-Desktopumgebung GNOME. Andere Schätzungen gehen von etwa 350 betroffenen Programmen aus. Die Entwickler von GnuTLS sprechen von einem "wichtigen und zugleich peinlichen Bug". 

"I told you so", ich hab's euch doch gesagt, schrieb Howard Chu auf Twitter. Bereits 2008 hatte der Open-Source-Entwickler davon abgeraten, GnuTLS einzusetzen. Der Code von GnuTLS sei "grundlegend kaputt" und die Entwickler seien "zu naiv und unerfahren, um das zu erkennen".