Geçtiğimiz hafta ortaya çıkan GnuTLS kütüphanesi açığı, açık kaynak camiasını tehdit etmeye devam ediyor. SSL ve TLS korumalarının devre dışı bırakılarak bilgisayarlar arasında güvenli olması gereken tüm iletişimin dinlenebilmesini sağlayan bu açık, Şubat ayında yayınlanan GnuTLS versiyon 3.2.12 ile giderilmiş durumda ancak statik olarak eski versiyonları kullanan tüm uygulamaların manuel bir biçimde güncellenmesi gerekiyor. Red Hat, Ubuntu, Debian gibi Linux dağıtıcıları çeşitli uyarılar yayınlayarak bu geçişi sağlamaya çalışıyor.
Açık kaynak yazılımlar, arka kapı açıkları daha az olduğu için ve kolektif bir çalışmayla yazılıp test edildikleri için daha güvenilir bir algı yaratmaktalar. Ancak durum her zaman böyle olmuyor. GnuTLS kütüphanesinde keşfedilen bir açık, Linux dağıtıcıları ve kullanıcılar için endişe kaynağı. Bilgisayarlar ve sunucular arasında güvenli bağlantıların oluşturulmasını sağlayan TLS sertifikalarının (X509 sertifikaları) doğrulanma sürecini etkileyen açık tıpkı Apple’da tespit edilen “goto fail” açığı gibi güvenli iletişimin büyük bir risk altında olmasına yol açıyor. Üstelik bu açığın 2005’ten beri var olduğu ve yeni keşfedildiği söylenmekte. NSA ve benzeri kurumların bu açığın farkında oldukları ve aktif olarak bu açığı istismar ettikleri yönündeki iddialar ise henüz doğrulanmamış olsa da Linux camiasında tepkiyle karşılanıyor.
Neyse ki söz konusu açık GnuTLS versiyon 3.2.12 ile giderilmiş durumda. Ancak güvenlik uzmanları pek çok açık kaynaklı uygulamanın eski GnuTLS versiyonlarına statik olarak bağlı olduğuna dikkat çekiyor ve özellikle açık kaynak yazılım kullanan işletmelerdeki BT birimlerinin manuel güncelleme yapması gerektiğini söylüyor.
Ortadaki adam (MITM) saldırılarına da yol açabileceği söylenen açık için Linux dağıtıcıları çeşitli yönergeler yayınlamaya başlamış durumdalar. Aktif olarak geliştirmesi ve dağıtımı süren açık kaynak yazılımlar da güncelleme konusunda destek sunmaya başladılar. Ancak eski versiyonları piyasada olan açık kaynak yazılımlarda güncellemenin büyük bir sıkıntı olduğu söylenmekte.
Kaynak : 