Abo
  • Services:
Anzeige
Juniper vergisst die Prüfung von Zertifikatssignaturen.
Juniper vergisst die Prüfung von Zertifikatssignaturen. (Bild: LPS.1 / Wikimedia Commons/CC-BY-SA 3.0)

Sicherheitslücke: Juniper vergisst Signaturprüfung

Juniper vergisst die Prüfung von Zertifikatssignaturen.
Juniper vergisst die Prüfung von Zertifikatssignaturen. (Bild: LPS.1 / Wikimedia Commons/CC-BY-SA 3.0)

Geräte des Netzwerkausrüsters Juniper akzeptieren Zertifikate für IPSEC-Verbindungen lediglich anhand des Ausstellernamens. Eine Prüfung der Signatur findet schlicht nicht statt.

Erneut muss die Firma Juniper einräumen, dass sich in ihren Produkten eine schwerwiegende Sicherheitslücke befindet. Wie die Nachrichtenseite Ars Technica berichtet versäumen es Produkte mit dem Junos-Betriebssystem offenbar, die Signatur von Zertifikaten zu prüfen. Es reicht bereits, wenn der Name des Zertifikatsausstellers korrekt ist.

Anzeige

Die üblicherweise verwendeten X.509-Zertifikate enthalten ein Feld, in dem der Aussteller des Zertifikats genannt ist. Üblicherweise wird zunächst anhand dieses Feldes nach einem passenden Root-Zertifikat gesucht und dann die Signatur verglichen. Doch den zweiten Schritt hat Juniper offenbar komplett ausgelassen.

Das bedeutet, dass sich jeder ein Zertifikat erzeugen kann, in dem eine von Junos akzeptierte Zertifizierungsstelle als Aussteller eingetragen ist. Es wird anschließend als gültiges Zertifikat erkannt. Juniper hat für die betroffenen Geräte ein Update bereitgestellt. Angesichts dieses schwerwiegenden Versäumnisses sollten Kunden sich aber möglicherweise eher fragen, ob sie den Geräten von Juniper überhaupt noch vertrauen können.

Schwere Sicherheitsmängel in Juniper-Geräten sorgten bereits im vergangenen Jahr für Schlagzeilen. Wie im Dezember bekannt wurde, enthielten Juniper-Geräte jahrelang mehrere Hintertüren. Zum einen wurde ein Standardpasswort gefunden, zum anderen kam der von der NSA mit einer Hintertüre versehene Zufallszahlengenerator Dual EC DRBG zum Einsatz. Die konkreten Werte für die Dual-EC-Hintertüre wurden dabei offenbar mehrfach ausgetauscht, so dass man davon ausgehen kann, dass hier möglicherweise verschiedene Akteure am Werk waren. Zur Aufklärung der Vorfälle hat Juniper wenig beigetragen und die Details sind nach wie vor unklar.


eye home zur Startseite
Nico82x 18. Jul 2016

Semiprofessionell? Weit gefehlt, Juniper ist nach Cisco der größte Hersteller im Backbone...

TheUnichi 18. Jul 2016

Oder einfach klassisch "Wie 10 Stunden? Als ich damals programmiert habe, hätte ich das...

Graveangel 18. Jul 2016

Klingt wie übrig gebliebener Test-Code. "Testet mal bitte, ob der Code richtig...



Anzeige

Stellenmarkt
  1. Commerz Finanz GmbH, München
  2. SECULONIA GmbH, Köln
  3. über Ratbacher GmbH, Düsseldorf
  4. Daimler AG, Kirchheim unter Teck


Anzeige
Top-Angebote
  1. (u. a. F1 2016 24,99€, Killing Floor 2 13,49€, XCOM 2 Digital Deluxe Edition 21,99€)
  2. (-50%) 29,99€
  3. (-63%) 21,99€

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Globale SAP-Anwendungsunterstützung durch Outsourcing


  1. Apple

    MacOS Sierra 10.12.4 mit Nachtschicht-Modus

  2. Apple

    iOS 10.3 in finaler Version erschienen

  3. Videoüberwachung

    Erster Feldversuch mit Gesichtserkennung geplant

  4. Optane Memory

    Intel lässt den Festplatten-Beschleuniger wieder aufleben

  5. Cryptowars

    "Kein geheimer Ort für Terroristen"

  6. Trello

    Atlassian setzt alles auf eine Karte

  7. Endless Runway

    Der Flughafen wird rund

  8. Square Enix

    Gladiolus startet ohne die anderen Jungs in Final Fantasy 15

  9. All Walls Must Fall

    Strategie und Zeitreisen in Berlin

  10. Breitbandmessung

    Nutzer erhalten meist nicht versprochene Datenrate



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Mobile-Games-Auslese: Würfelkrieger und Kartendiebe für mobile Spieler
Mobile-Games-Auslese
Würfelkrieger und Kartendiebe für mobile Spieler

Synlight: Wie der Wasserstoff aus dem Sonnenlicht kommen soll
Synlight
Wie der Wasserstoff aus dem Sonnenlicht kommen soll
  1. Energieversorgung Tesla nimmt eigenes Solarkraftwerk in Hawaii in Betrieb

Android O im Test: Oreo, Ovomaltine, Orange
Android O im Test
Oreo, Ovomaltine, Orange
  1. Android O Alte Crypto raus und neuer Datenschutz rein
  2. Developer Preview Google veröffentlicht erste Vorschau von Android O
  3. Android O Google will Android intelligenter machen

  1. Re: Umweltschutz...

    Arkarit | 02:25

  2. Re: Die GPLv3 wird auch noch nicht juristisch...

    schily | 02:22

  3. Re: Gesetze sind für alle da

    HorkheimerAnders | 01:57

  4. Sand einfüllen

    1ras | 01:33

  5. Re: Nicht realisierbar

    Prinzeumel | 01:21


  1. 00:28

  2. 00:05

  3. 18:55

  4. 18:18

  5. 18:08

  6. 17:48

  7. 17:23

  8. 17:07


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel