Kritische Sicherheitslücke in der freien IPsec-Implementierung
Kritische Sicherheitslücke in der freien IPsec-Implementierung (Bild: Strongswan)

Strongswan: IPsec-Implementierung akzeptiert leere Signaturen

In der Software Strongswan, die unter Linux und anderen Unix-Systemen für IPsec-Verbindungen eingesetzt wird, wurden ungültige Signaturen für das ECDSA-Verfahren akzeptiert. Eine gravierende Sicherheitslücke, die mehrere Jahre unentdeckt blieb.

Anzeige

Die Entwickler der IPsec-Implementierung Strongswan haben mit der Version 5.0.4 eine gravierende Sicherheitslücke behoben. Wie die Entwickler in ihrem Blog mitteilen, akzeptieren bisherige Versionen von Strongswan leere oder nur aus Nullen bestehende Signaturen für das ECDSA-Verfahren. Es ist also für einen Angreifer trivial möglich, Signaturen zu fälschen.

Strongswan ist eine Implementierung des IPsec-Protokolls, mit dem sich verschlüsselte und authentifizierte IP-Verbindungen unter Linux und anderen Unix-Systemen realisieren lassen. Es ist zurzeit die meistverwendete Ipsec-Implementierung für Linux und ein Fork der Software FreeS/Wan, deren Entwicklung 2004 eingestellt wurde.

Das Problem bestand seit der Version 4.3.5, die bereits 2009 veröffentlicht wurde. Es tritt nur dann auf, wenn OpenSSL als Kryptographie-Bibliothek verwendet wird. Anwender, die von dem Problem möglicherweise betroffen sind, sollten die aktuelle Version 5.0.4 installieren oder einen von den Entwicklern bereitgestellten Patch einspielen. Das Problem hat die ID CVE-2013-2944 erhalten.

Die Strongswan-Entwickler weisen darauf hin, dass bereits im vergangenen Jahr eine ähnliche Sicherheitslücke gefunden wurde, die aber mit der aktuellen nichts zu tun hat. Bis zur Version 4.6.2 akzeptierte Strongswan unter bestimmten Umständen leere oder aus Nullen bestehende RSA-Signaturen. Der aktuelle Fehler hat allerdings mit der damaligen Sicherheitslücke nichts zu tun.


.................. 04. Mai 2013

doch, es gibt seit 1-2 Monaten eine kostenlose openvpn App fuer ios, funktioniert auch...

Kommentieren



Anzeige

  1. Teamleiter E/E (m/w)
    MBtech Group GmbH & Co. KGaA, Mannheim
  2. Software Ingenieur (m/w) Roboterprogrammierung / Automatisierungstechnik
    Continental AG, Hannover
  3. IT-Mitarbeiter (m/w)
    SRH Dienstleistungen GmbH, Oberndorf a. N.
  4. IT-Support Mitarbeiter/in
    Patent- und Rechtsanwälte Hoffmann Eitle, München

 

Detailsuche


Hardware-Angebote
  1. Crucial MX100 256GB zum Bestpreis bei Redcoon
    95,50€
  2. PCGH-Supreme-PC GTX980-Edition
    (Core i7-4790K + Geforce GTX 980)
  3. Dell 24-Zoll-Ultra-HD-Monitor
    ab 378,99€

 

Weitere Angebote


Folgen Sie uns
       


  1. Autobahn

    Ruhrgebiet soll Testgebiet für autonomes Fahren werden

  2. Glibc

    Ein Geist gefährdet Linux-Systeme

  3. iPhone

    Apple patentiert ansteckbares Gamepad und weiteres Zubehör

  4. KDE Plasma 5.2 erschienen

    Breeze ist überall

  5. Vorratsdatenspeicherung

    EU-Kommission plant keinen neuen Anlauf

  6. Microblogging

    Twitter führt Videofunktion und Gruppennachrichten ein

  7. Spionagesoftware

    Kaspersky enttarnt Regin als NSA-Programm

  8. Lunar-X-Prize

    Google zeichnet Mondfahrer aus

  9. Raumfahrt

    Lightsail segelt mit dem Sonnenwind um die Erde

  10. Nachfrage stagniert

    Foxconn will künftig weniger Arbeiter neu einstellen



Haben wir etwas übersehen?

E-Mail an news@golem.de



Sony Alpha 7 II im Test: Fast ins Schwarze getroffen
Sony Alpha 7 II im Test
Fast ins Schwarze getroffen
  1. Systemkamera Olympus kündigt neues Modell im OM-D-System an
  2. Seek XR Wärmebildkamera mit Zoom für Android und iOS
  3. Geco Mark II Federleichte Actionkamera für den Brillenbügel

Neues Betriebssystem: Microsoft nennt viele neue Details zu Windows 10
Neues Betriebssystem
Microsoft nennt viele neue Details zu Windows 10
  1. Technical Preview mit Cortana Windows 10 Build 9926 steht zum Download bereit
  2. Microsoft Nicht alle Windows-Phone-Smartphones erhalten Windows 10
  3. Surface Hub Microsoft zeigt Konferenzsystem mit Digitizer und Windows 10

Spionage oder Imageaufwertung?: Deutsche Behörden nennen es Social Media Intelligence
Spionage oder Imageaufwertung?
Deutsche Behörden nennen es Social Media Intelligence
  1. Ausfall von Internetdiensten Lizard Squad will's gewesen sein, Facebook sagt nein
  2. Soziales Netzwerk Justizministerium kritisiert Facebooks neue AGB
  3. jobbörse.com Xing kauft Suchmaschine für 6,3 Millionen Euro

    •  / 
    Zum Artikel