Abo
  • Services:
Anzeige
Juniper vergisst die Prüfung von Zertifikatssignaturen.
Juniper vergisst die Prüfung von Zertifikatssignaturen. (Bild: LPS.1 / Wikimedia Commons/CC-BY-SA 3.0)

Sicherheitslücke: Juniper vergisst Signaturprüfung

Juniper vergisst die Prüfung von Zertifikatssignaturen.
Juniper vergisst die Prüfung von Zertifikatssignaturen. (Bild: LPS.1 / Wikimedia Commons/CC-BY-SA 3.0)

Geräte des Netzwerkausrüsters Juniper akzeptieren Zertifikate für IPSEC-Verbindungen lediglich anhand des Ausstellernamens. Eine Prüfung der Signatur findet schlicht nicht statt.

Erneut muss die Firma Juniper einräumen, dass sich in ihren Produkten eine schwerwiegende Sicherheitslücke befindet. Wie die Nachrichtenseite Ars Technica berichtet versäumen es Produkte mit dem Junos-Betriebssystem offenbar, die Signatur von Zertifikaten zu prüfen. Es reicht bereits, wenn der Name des Zertifikatsausstellers korrekt ist.

Anzeige

Die üblicherweise verwendeten X.509-Zertifikate enthalten ein Feld, in dem der Aussteller des Zertifikats genannt ist. Üblicherweise wird zunächst anhand dieses Feldes nach einem passenden Root-Zertifikat gesucht und dann die Signatur verglichen. Doch den zweiten Schritt hat Juniper offenbar komplett ausgelassen.

Das bedeutet, dass sich jeder ein Zertifikat erzeugen kann, in dem eine von Junos akzeptierte Zertifizierungsstelle als Aussteller eingetragen ist. Es wird anschließend als gültiges Zertifikat erkannt. Juniper hat für die betroffenen Geräte ein Update bereitgestellt. Angesichts dieses schwerwiegenden Versäumnisses sollten Kunden sich aber möglicherweise eher fragen, ob sie den Geräten von Juniper überhaupt noch vertrauen können.

Schwere Sicherheitsmängel in Juniper-Geräten sorgten bereits im vergangenen Jahr für Schlagzeilen. Wie im Dezember bekannt wurde, enthielten Juniper-Geräte jahrelang mehrere Hintertüren. Zum einen wurde ein Standardpasswort gefunden, zum anderen kam der von der NSA mit einer Hintertüre versehene Zufallszahlengenerator Dual EC DRBG zum Einsatz. Die konkreten Werte für die Dual-EC-Hintertüre wurden dabei offenbar mehrfach ausgetauscht, so dass man davon ausgehen kann, dass hier möglicherweise verschiedene Akteure am Werk waren. Zur Aufklärung der Vorfälle hat Juniper wenig beigetragen und die Details sind nach wie vor unklar.


eye home zur Startseite
Nico82x 18. Jul 2016

Semiprofessionell? Weit gefehlt, Juniper ist nach Cisco der größte Hersteller im Backbone...

TheUnichi 18. Jul 2016

Oder einfach klassisch "Wie 10 Stunden? Als ich damals programmiert habe, hätte ich das...

Graveangel 18. Jul 2016

Klingt wie übrig gebliebener Test-Code. "Testet mal bitte, ob der Code richtig...



Anzeige

Stellenmarkt
  1. Ratbacher GmbH, Großraum Chemnitz
  2. Scheidt & Bachmann GmbH, Mönchengladbach bei Düsseldorf
  3. ekom21 - KGRZ Hessen, Gießen
  4. ROTEXMEDICA GMBH, Trittau


Anzeige
Blu-ray-Angebote
  1. inklusive Wonder Woman Comic
  2. (u. a. Reign, Person of Interest, Gossip Girl, The Clone Wars)

Folgen Sie uns
       


  1. Zero-Rating

    StreamOn der Telekom bei 200.000 Kunden

  2. Beta Archive

    Microsoft bestätigt Leck des Windows-10-Quellcodes

  3. Deutschland-Chef der Telekom

    Bis 2018 flächendeckend Vectoring in Nordrhein-Westfalen

  4. Sipgate Satellite

    Deutsche Telekom blockiert mobile Nummer mit beliebiger SIM

  5. Rockstar Games

    "Normalerweise" keine Klagen gegen GTA-Modder

  6. Stromnetz

    Tennet warnt vor Trassen-Maut für bayerische Bauern

  7. Call of Duty

    Modern Warfare Remastered erscheint alleine lauffähig

  8. Gmail

    Google scannt Mails künftig nicht mehr für Werbung

  9. Die Woche im Video

    Ein Chef geht, die Quanten kommen und Nummer Fünf lebt

  10. Hasskommentare

    Koalition einigt sich auf Änderungen am Facebook-Gesetz



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Stehpult ausprobiert: Aufstehen gegen Rückenschmerzen
Stehpult ausprobiert
Aufstehen gegen Rückenschmerzen
  1. Stellenmarkt Softwareentwickler haben nicht die bestbezahlten IT-Jobs
  2. Looksee Wellington Neuseeland zieht mehr IT-Experten an
  3. Jobs Deutschland kann seinen IT-Fachkräftemangel selbst lösen

Assassin's Creed Origins angespielt: Ubisoft verschafft den Auftragskillern Ruhepausen
Assassin's Creed Origins angespielt
Ubisoft verschafft den Auftragskillern Ruhepausen
  1. Xbox One X Probefahrt mit der X-Klasse
  2. Ubisoft Chaoshasen, Weltraumaffen und die alten Ägypter
  3. Xbox One Supersampling im Zeichen des X

Github: Wer Entwickler hat, braucht keine PR
Github
Wer Entwickler hat, braucht keine PR
  1. Entwicklerplattform Github bekommt Marktplatz für Werkzeuge
  2. Entwicklungswerkzeuge Gnome erwägt Umzug auf Gitlab
  3. Windows 7 und 8 Github-Nutzer schafft Freischaltung von neuen CPUs

  1. Re: Darauf ein Glas Wine

    Ach | 01:34

  2. Re: mit verkauf des kabelnetzes, am eigenen ast...

    DerDy | 01:29

  3. Re: Einseitig..

    DerDy | 01:22

  4. Re: Was ist an einer Veröffentlichung so schlimm?

    Ach | 01:20

  5. Re: Sofort verbieten

    ThomasSV | 01:13


  1. 14:37

  2. 14:28

  3. 12:01

  4. 10:37

  5. 13:30

  6. 12:14

  7. 11:43

  8. 10:51


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel