Hasard du calendrier (encore !) : alors que la vulnérabilité TLS des systèmes iOS et MacOS X d’Apple vient de défrayer la chronique, il semble qu’une boulette très similaire vienne d’être découverte dans GnuTLS, une librairie open-source équivalente à OpenSSL.

Selon l’alerte officielle, certes avare en détails, « un certificat spécialement modifié pourrait contourner les contrôles de validité des certificats » . Cette vulnérabilité touche toutes les versions de GnuTLS avant 3.2.12 ou 3.1.22.

Pour s’en protéger il est recommandé de mettre à jour GnuTLS à la dernière version (3.2.12 ou 3.1.22) ou d’appliquer un patch spécifique si vous utilisez une version de la branche 2.12.

A voir le patch publié, l’on reconnait une construction similaire au « goto fail » rendu célèbre par la vulnérabilité Apple.