• IT-Karriere:
  • Services:

Sicherheitslücke: Juniper vergisst Signaturprüfung

Geräte des Netzwerkausrüsters Juniper akzeptieren Zertifikate für IPSEC-Verbindungen lediglich anhand des Ausstellernamens. Eine Prüfung der Signatur findet schlicht nicht statt.

Artikel veröffentlicht am , Hanno Böck
Juniper vergisst die Prüfung von Zertifikatssignaturen.
Juniper vergisst die Prüfung von Zertifikatssignaturen. (Bild: LPS.1 / Wikimedia Commons/CC-BY-SA 3.0)

Erneut muss die Firma Juniper einräumen, dass sich in ihren Produkten eine schwerwiegende Sicherheitslücke befindet. Wie die Nachrichtenseite Ars Technica berichtet versäumen es Produkte mit dem Junos-Betriebssystem offenbar, die Signatur von Zertifikaten zu prüfen. Es reicht bereits, wenn der Name des Zertifikatsausstellers korrekt ist.

Stellenmarkt
  1. Landesbaudirektion Bayern, Nürnberg
  2. Kräuter Mix GmbH', Abtswind, Wiesentheid

Die üblicherweise verwendeten X.509-Zertifikate enthalten ein Feld, in dem der Aussteller des Zertifikats genannt ist. Üblicherweise wird zunächst anhand dieses Feldes nach einem passenden Root-Zertifikat gesucht und dann die Signatur verglichen. Doch den zweiten Schritt hat Juniper offenbar komplett ausgelassen.

Das bedeutet, dass sich jeder ein Zertifikat erzeugen kann, in dem eine von Junos akzeptierte Zertifizierungsstelle als Aussteller eingetragen ist. Es wird anschließend als gültiges Zertifikat erkannt. Juniper hat für die betroffenen Geräte ein Update bereitgestellt. Angesichts dieses schwerwiegenden Versäumnisses sollten Kunden sich aber möglicherweise eher fragen, ob sie den Geräten von Juniper überhaupt noch vertrauen können.

Schwere Sicherheitsmängel in Juniper-Geräten sorgten bereits im vergangenen Jahr für Schlagzeilen. Wie im Dezember bekannt wurde, enthielten Juniper-Geräte jahrelang mehrere Hintertüren. Zum einen wurde ein Standardpasswort gefunden, zum anderen kam der von der NSA mit einer Hintertüre versehene Zufallszahlengenerator Dual EC DRBG zum Einsatz. Die konkreten Werte für die Dual-EC-Hintertüre wurden dabei offenbar mehrfach ausgetauscht, so dass man davon ausgehen kann, dass hier möglicherweise verschiedene Akteure am Werk waren. Zur Aufklärung der Vorfälle hat Juniper wenig beigetragen und die Details sind nach wie vor unklar.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Top-Angebote
  1. (aktuell u. a. WD Eements 10 TB für 179,00€, Crucial X8 1 TB externe SSD für 149,00€, Zotac...
  2. (aktuell u. a. Dell XPS 15 Gaming-Notebook für 2.249,00€, Asus TUF Gaming-Laptop für 599,00€)
  3. 59,99€ (zzgl. 5€ Versand, Release am 3. April)
  4. (aktuell u. a. WD Elements 5TB für 99€, Logitech MK330 Tastatur-Maus-Set für 22€, Toshiba...

Nico82x 18. Jul 2016

Semiprofessionell? Weit gefehlt, Juniper ist nach Cisco der größte Hersteller im Backbone...

TheUnichi 18. Jul 2016

Oder einfach klassisch "Wie 10 Stunden? Als ich damals programmiert habe, hätte ich das...

Graveangel 18. Jul 2016

Klingt wie übrig gebliebener Test-Code. "Testet mal bitte, ob der Code richtig...


Folgen Sie uns
       


Helmholtz-Forscher arbeiten am Künstlichen Blatt - Bericht

Sonnenlicht spaltet Wasser: Ein Team von Helmholtz-Forschern bildet die Photosynthese technisch nach, um Wassesrtoff zu gewinnen.

Helmholtz-Forscher arbeiten am Künstlichen Blatt - Bericht Video aufrufen
Indiegames-Rundschau: Einmal durchspielen in 400 Tagen
Indiegames-Rundschau
Einmal durchspielen in 400 Tagen

Im Indiegame The Longing warten wir 400 Tage in Echtzeit, in Broken Lines kämpfen wir im Zweiten Weltkrieg und Avorion schickt uns ins Universum.
Von Rainer Sigl

  1. A Maze Berliner Indiegames-Festival sucht Unterstützer
  2. Spielebranche Überleben in der Indiepocalypse
  3. Ancestors im Test Die Evolution als Affenzirkus

Coronakrise: IT-Freelancer müssen als Erste gehen
Coronakrise
IT-Freelancer müssen als Erste gehen

Die Pandemie schlägt bei vielen IT-Freiberuflern schneller zu als bei Festangestellten. Schon die Hälfte aller Projekte sind gecancelt. Überraschung: Bei der anderen Hälfte läuft es weiter wie bisher. Wie das?
Ein Bericht von Peter Ilg

  1. Coronavirus Media Markt und Saturn stoppen Mietzahlungen
  2. Corona Besitzer von Media Markt Saturn beantragt Staatshilfe
  3. Coronakrise EU wertet Kontaktsperren mit Mobilfunkdaten aus

Disney+ im Nachtest: Lücken im Sortiment und technische Probleme
Disney+ im Nachtest
Lücken im Sortiment und technische Probleme

Disney+ läuft auf Amazons Fire-TV-Geräten nur mit Einschränkungen. Beim Sortiment gibt es Lücken und die Auswahl von Disney+ ist deutlich kleiner als bei Netflix und Prime Video.
Ein Test von Ingo Pakalski

  1. Disney+ Surround-Ton nur auf drei Fire-TV-Modellen
  2. Telekom-Kunden Verzögerungen bei der Aktivierung für Disney+
  3. Videostreaming So verändert Disney+ auch Netflix, Prime Video und Sky

    •  /