安全研究人員近日再次發現安全通訊庫GnuTLS的重大漏洞，該漏洞可能使黑客能夠遠端執行惡意代碼。這已經是GnuTLS今年第二起安全漏洞事件。今年3月，Mavrogiannopoulos曾通報GnuTLS一項goto cleanup重大漏洞，可使網站服務器誤信黑客偽造的SSL憑證而放行允許控制網站。

GnuTLS

GnuTLS 是一個加密協議庫，實現了 SSL、TLS 和 DTLS 協議和相關技術，提供了簡單的 C 語言編程接口用來訪問這些安全通訊協議，提供解析和讀寫 X.509、PKCS #12、OpenPGP 和其他相關結構。特點是可移植性和高效。雖然不像之前傳出重大漏洞的OpenSSL函數庫那么流行，不過GnuTLS的使用范圍也相當廣泛，包含在Red Hat、Ubuntu及Debian等Linux操作系統及350種相關軟件。

上周五Codenomicon安全人員Joonas Kuorilehto首先通報GnuTLS漏洞，不過很快由Red Hat安全研發人員Nikos Mavrogiannopoulos發布修補程式，以修補受影響的GnuTLS 3.3.3、GnuTLS 3.2.15及GnuTLS 3.1.25。后來 GnuTLS開發人員又發布更新版GnuTLS 3.3.4，以修補另一項與安全無關的瑕疵。

Red Hat的安全博客提示，CVE-2014-3466漏洞存在于Server Hello封包的session ID值的解析過程，黑客在TLS/SSL handshake時，從服務器送入非常長的session ID 值進行緩沖溢位(buffer overflow)攻擊就可能導致毀損，進而在用戶端系統執行任意代碼。Red Hat將該漏洞安全風險列為嚴重等級。

今年4月，OpenSSL出現HeartBleed漏洞，因OpenSSL的普及性及攻擊不易留下痕跡，對全球網絡傳輸安全造成重創，被安全專家視為有史以來最重大的網絡安全漏洞事件。