Na de beruchte goto fail SSL-kwetsbaarheid in iOS en OS X (en talloze apps), blijkt ook het veelgebruikte GnuTLS een vergelijkbaar gênant lek te hebben. GnuTLS zit onder meer in verschillende Debian-, Ubuntu- en Red Hat-distro's, waaronder Red Hat Enterprise Linux (RHEL), meldt Ars Technica. Naast verschillende distro's wordt GnuTLS ook gebruikt als SSL-stack door talloze open source software.

"Er is ontdekt dat GnuTLS bepaalde fouten niet correct afhandelt tijdens de validatie van een X.509 certificaat, dit leidt tot succesvolle verificatie die echter niet klopt", meldt Red Hat. "Een aanvaller kan deze fout misbruiken met een speciaal geprepareerd certificaat voor een valse site, die dan door GnuTLS als authentiek wordt gevalideerd." Er is inmiddels een patch voor GnuTLS en de meeste Linux-distro's.

Goto cleanup

De bug is bijna identiek aan de goto fail-blunder in de SSL-stack van Apple, alleen zitten er verschillende fouten in de broncode bij 'goto cleanup' in plaats van 'goto fail'. Het effect is feitelijk hetzelfde, valse certificaten worden abusievelijk gevalideerd. Mogelijk zit de fout al sinds 2005 in de code van GnuTLS.