รายงานบั๊กใหม่จากวิศวกรของ Red Hat พบว่าชุดเครื่องมือความปลอดภัย GnuTLS มีบั๊กในการจัดการกับความผิดพลาดของใบรับรอง SSL หากแฮกเกอร์สามารถสร้างใบรับรองได้อย่างถูกต้อง จะสามารถข้ามการตรวจสอบทั้งหมดได้ทันทีแม้จะไม่ได้รับรองจากหน่วยงานออกใบรับรองใดๆ

ที่เลวร้ายคือบั๊กนี้อาจจะมีมาตั้งแต่ปี 2005 นานกว่าบั๊ก goto fail; ของแอปเปิลมาก ที่สำคัญคือมีซอฟต์แวร์อาศัยโค้ดของ GnuTLS ในการตรวจสอบใบรับรอง SSL มากมาย นับแต่ curl ที่ Debian และ Ubuntu มีตัวเลือกใช้ GnuTLS แทน OpenSSL ใน libcurl3-gnutls ไปจนถึงระบบ VPN ของซิสโก้ที่ใช้งานไลบรารีนี้เช่นกัน

กระบวนการมาตรฐานตอนนี้คือผู้ดูแลระบบทุกคนควรเร่งอัพเกรดซอฟต์แวร์โดยด่วน ทาง GnuTLS นั้นเปิดรุ่น 3.2.12 ให้ดาวน์โหลดแล้ว ส่วนดิสโทรเก่าๆ ที่ใช้รุ่น 2.x นั้นคงต้องรอให้ดิสโทรแพตซ์ให้และอัพเกรดกันต่อไป

ที่มา - ArsTechnica