GnuTLS加密代码库近日又爆出重大bug，Linux和数百个开源软件包面临路过式攻击攻击的危险。此次爆出的漏洞代号CVE-2014-3466，原因是没能正确检查会话ID长度。

Red Hat漏洞报告博客本周一指出：GnuTLS在从TLS/SSL握手中，从ServerHello消息中解析会话ID值的方法存在缺陷。恶意配置的服务器可以利用该缺陷发送超长会话ID，从而触发通过TLS/SSL连接的客户端应用的缓存区溢出，导致应用崩溃，也可能在客户端运行任意代码。

直到上周五，随着3.1.25，3.2.15和3.3.4三个GnuTLS 版本发布，该漏洞才被堵上。

Radare的一篇文章对该漏洞进行了详细技术分析，揭示攻击者如何利用该漏洞部署和执行恶意代码，有兴趣的读者可以去看看。

该漏洞目前还没有爆出重大的攻击事件，但是专家指出黑客可以利用该漏洞进行更加隐蔽的路过式攻击，因此建议各位系统管理人员尽快检查是否使用了存在漏洞的GnuTLS版本。

今年三月GnuTLS还曾爆出过一个严重漏洞，攻击者可以轻易伪造知名网站证书。