• IT-Karriere:
  • Services:

Sicherheitslücke: Juniper vergisst Signaturprüfung

Geräte des Netzwerkausrüsters Juniper akzeptieren Zertifikate für IPSEC-Verbindungen lediglich anhand des Ausstellernamens. Eine Prüfung der Signatur findet schlicht nicht statt.

Artikel veröffentlicht am , Hanno Böck
Juniper vergisst die Prüfung von Zertifikatssignaturen.
Juniper vergisst die Prüfung von Zertifikatssignaturen. (Bild: LPS.1 / Wikimedia Commons/CC-BY-SA 3.0)

Erneut muss die Firma Juniper einräumen, dass sich in ihren Produkten eine schwerwiegende Sicherheitslücke befindet. Wie die Nachrichtenseite Ars Technica berichtet versäumen es Produkte mit dem Junos-Betriebssystem offenbar, die Signatur von Zertifikaten zu prüfen. Es reicht bereits, wenn der Name des Zertifikatsausstellers korrekt ist.

Stellenmarkt
  1. Fresenius Kabi Deutschland GmbH, Friedberg
  2. Pfennigparade SIGMETA GmbH, München

Die üblicherweise verwendeten X.509-Zertifikate enthalten ein Feld, in dem der Aussteller des Zertifikats genannt ist. Üblicherweise wird zunächst anhand dieses Feldes nach einem passenden Root-Zertifikat gesucht und dann die Signatur verglichen. Doch den zweiten Schritt hat Juniper offenbar komplett ausgelassen.

Das bedeutet, dass sich jeder ein Zertifikat erzeugen kann, in dem eine von Junos akzeptierte Zertifizierungsstelle als Aussteller eingetragen ist. Es wird anschließend als gültiges Zertifikat erkannt. Juniper hat für die betroffenen Geräte ein Update bereitgestellt. Angesichts dieses schwerwiegenden Versäumnisses sollten Kunden sich aber möglicherweise eher fragen, ob sie den Geräten von Juniper überhaupt noch vertrauen können.

Schwere Sicherheitsmängel in Juniper-Geräten sorgten bereits im vergangenen Jahr für Schlagzeilen. Wie im Dezember bekannt wurde, enthielten Juniper-Geräte jahrelang mehrere Hintertüren. Zum einen wurde ein Standardpasswort gefunden, zum anderen kam der von der NSA mit einer Hintertüre versehene Zufallszahlengenerator Dual EC DRBG zum Einsatz. Die konkreten Werte für die Dual-EC-Hintertüre wurden dabei offenbar mehrfach ausgetauscht, so dass man davon ausgehen kann, dass hier möglicherweise verschiedene Akteure am Werk waren. Zur Aufklärung der Vorfälle hat Juniper wenig beigetragen und die Details sind nach wie vor unklar.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Top-Angebote
  1. (Spiele bis zu 90% reduziert)
  2. ab 30,00€
  3. (aktuell u. a. Xiaomi Mi Note 10 128GB Handy für 499,00€ und HP 25x LED-Monitor für 179,90€)

Nico82x 18. Jul 2016

Semiprofessionell? Weit gefehlt, Juniper ist nach Cisco der größte Hersteller im Backbone...

TheUnichi 18. Jul 2016

Oder einfach klassisch "Wie 10 Stunden? Als ich damals programmiert habe, hätte ich das...

Graveangel 18. Jul 2016

Klingt wie übrig gebliebener Test-Code. "Testet mal bitte, ob der Code richtig...


Folgen Sie uns
       


Ghost Recon Breakpoint - Fazit

Das Actionspiel Ghost Recon Breakpoint von Ubisoft schickt Spieler als Elitesoldat Nomad auf eine fiktive Pazifikinsel.

Ghost Recon Breakpoint - Fazit Video aufrufen
Videospiellokalisierung: Lost in Translation
Videospiellokalisierung
Lost in Translation

Damit Videospiele in möglichst viele Länder verkauft werden können, müssen sie übersetzt beziehungsweise lokalisiert werden. Ein kniffliger Job, denn die Textdatei eines Games hat oft auf den ersten Blick keine logische Struktur - dafür aber Hunderte Seiten.
Von Nadine Emmerich

  1. Spielebranche Entwickler können bis 2023 mit Millionenförderung rechnen
  2. Planet Zoo im Test Tierische Tüftelei
  3. Förderung Spielentwickler sollen 2020 nur einen "Ausgaberest" bekommen

Autonomes Fahren: Wenn der Wagen das Volk nicht versteht
Autonomes Fahren
Wenn der Wagen das Volk nicht versteht

VW testet in Hamburg das vollautonome Fahren in der Stadt - und das recht erfolgreich, wie eine Probefahrt zeigt. Als größtes Problem erweist sich ausgerechnet die Höflichkeit der Fußgänger.
Ein Bericht von Werner Pluta

  1. Elektroauto Volkswagen ID.3 wird auch in Dresden montiert
  2. Volkswagen ID. Space Vizzion als Elektrokombi vorgestellt
  3. Elektroauto von VW Es hat sich bald ausgegolft

Definitive Editon angespielt: Das Age of Empires 2 für Könige
Definitive Editon angespielt
Das Age of Empires 2 für Könige

Die 27 Einzelspielerkampagnen sollen für rund 200 Stunden Beschäftigung sorgen, dazu kommen Verbesserungen bei der Grafik und Bedienung sowie eine von Grund auf neu programmierte Gegner- oder Begleit-KI: Die Definitive Edition von Age of Empires 2 ist erhältlich.

  1. Microsoft Age of Empires 4 baut auf Nahrung, Holz, Stein und Gold
  2. Microsoft Age of Empires 4 schickt Spieler ins Mittelalter

    •  /