Parece que a vida não anda nada fácil para o SSL. Algum tempo após o Heartbleed ter sido publicado e assustado muitos administradores de sistemas e usuários uma nova falha nos é apresentada.
Mas calma, desta vez o culpado não é o OpenSSL e sim, o GnuTLS.
A empresa Codenomicon encontrou uma falha no GnuTLS que é usado em dezenas de pacotes nas distribuições mais populares de Linux onde um servidor malicioso pode forçar uma execução de código arbitrário injetado pelo próprio servidor nas máquinas que tentarem se conectar no mesmo. Ou seja, em suma, o programa pode tanto apresentar uma operação ilegal e parar como permitir uma execução de um código injetado na sua máquina cliente.
As versões 3.1.25, 3.1.15 e 3.3.4 do GnuTLS, lançadas na sexta-feira corrigem a falha mas ao que parece, tal qual no Heartbleed, em alguns casos a mera atualização pode não ser o suficiente para resolver as falhas. Isto ocorre pois como ele funciona como uma bibilioteca compartilhada para diversos programas pode ser necessário, que, em conjunto com ele todas os programas dependentes tenham que ser atualizados também.
Para quem gosta de ver e entender o que foi reportado uma análise técnica do possível ataque pode ser vista aqui. Mas, apesar de ser bem séria não há nenhum sinal até o momento de que o ataque esteja sendo tão sério como o Heartbleed que causou tanto estrago. Mas, logicamente como é uma falha em uma parte tão crítica e nossos sistemas Linux, é importante que uma olhda nas suas máquinas e servidores para saber se você tem uma versão vulnerável do GnuTLS instalado é importante.
As atualizações das principais distribuições deve estar a caminho e logicamente, é importante aos administradores de sistemas, principalmente, ficar de olho em portais de notícias para saber se já houve ou há no mercado algum exploit publicado, que pode começar a causar estragos em nossas redes/servidores.