Abo
  • Services:
Anzeige
Juniper vergisst die Prüfung von Zertifikatssignaturen.
Juniper vergisst die Prüfung von Zertifikatssignaturen. (Bild: LPS.1 / Wikimedia Commons/CC-BY-SA 3.0)

Sicherheitslücke: Juniper vergisst Signaturprüfung

Juniper vergisst die Prüfung von Zertifikatssignaturen.
Juniper vergisst die Prüfung von Zertifikatssignaturen. (Bild: LPS.1 / Wikimedia Commons/CC-BY-SA 3.0)

Geräte des Netzwerkausrüsters Juniper akzeptieren Zertifikate für IPSEC-Verbindungen lediglich anhand des Ausstellernamens. Eine Prüfung der Signatur findet schlicht nicht statt.

Erneut muss die Firma Juniper einräumen, dass sich in ihren Produkten eine schwerwiegende Sicherheitslücke befindet. Wie die Nachrichtenseite Ars Technica berichtet versäumen es Produkte mit dem Junos-Betriebssystem offenbar, die Signatur von Zertifikaten zu prüfen. Es reicht bereits, wenn der Name des Zertifikatsausstellers korrekt ist.

Anzeige

Die üblicherweise verwendeten X.509-Zertifikate enthalten ein Feld, in dem der Aussteller des Zertifikats genannt ist. Üblicherweise wird zunächst anhand dieses Feldes nach einem passenden Root-Zertifikat gesucht und dann die Signatur verglichen. Doch den zweiten Schritt hat Juniper offenbar komplett ausgelassen.

Das bedeutet, dass sich jeder ein Zertifikat erzeugen kann, in dem eine von Junos akzeptierte Zertifizierungsstelle als Aussteller eingetragen ist. Es wird anschließend als gültiges Zertifikat erkannt. Juniper hat für die betroffenen Geräte ein Update bereitgestellt. Angesichts dieses schwerwiegenden Versäumnisses sollten Kunden sich aber möglicherweise eher fragen, ob sie den Geräten von Juniper überhaupt noch vertrauen können.

Schwere Sicherheitsmängel in Juniper-Geräten sorgten bereits im vergangenen Jahr für Schlagzeilen. Wie im Dezember bekannt wurde, enthielten Juniper-Geräte jahrelang mehrere Hintertüren. Zum einen wurde ein Standardpasswort gefunden, zum anderen kam der von der NSA mit einer Hintertüre versehene Zufallszahlengenerator Dual EC DRBG zum Einsatz. Die konkreten Werte für die Dual-EC-Hintertüre wurden dabei offenbar mehrfach ausgetauscht, so dass man davon ausgehen kann, dass hier möglicherweise verschiedene Akteure am Werk waren. Zur Aufklärung der Vorfälle hat Juniper wenig beigetragen und die Details sind nach wie vor unklar.


eye home zur Startseite
Nico82x 18. Jul 2016

Semiprofessionell? Weit gefehlt, Juniper ist nach Cisco der größte Hersteller im Backbone...

TheUnichi 18. Jul 2016

Oder einfach klassisch "Wie 10 Stunden? Als ich damals programmiert habe, hätte ich das...

Graveangel 18. Jul 2016

Klingt wie übrig gebliebener Test-Code. "Testet mal bitte, ob der Code richtig...



Anzeige

Stellenmarkt
  1. T-Systems International GmbH, Essen
  2. symmedia GmbH, Bielefeld
  3. Deloitte GmbH Wirtschaftsprüfungsgesellschaft, verschiedene Standorte
  4. Aareon Deutschland GmbH, Leipzig, Dortmund


Anzeige
Spiele-Angebote
  1. 8,99€
  2. 25,99€
  3. 4,99€

Folgen Sie uns
       


  1. Radeon RX Vega 56 im Test

    AMD positioniert sich in der Mitte

  2. The Patent Scam

    X-Plane-Macher veröffentlicht Film über Patenttrolle

  3. Uncharted The Lost Legacy im Test

    Abenteuer mit voller Frauenpower

  4. Nokia 8

    Top-Smartphone mit Zeiss-Optik und 360-Grad-Audio

  5. Frontrow

    Halskette als Kamera zum Dauerfilmen

  6. Streetscooter Work XL

    Deutsche Post stellt Elektro-Lkw mit 200 km Reichweite vor

  7. Interview auf Youtube

    Merkel verteidigt Ziel von 1 Million Elektroautos bis 2020

  8. Ransomware

    Not-Petya-Angriff kostet Maersk 200 Millionen US-Dollar

  9. Spielebranche

    Mikrotransaktionen boomen zulasten der Kaufspiele

  10. Autonomes Fahren

    Fiat Chrysler kooperiert mit BMW und Intel



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Game of Thrones: Die Kunst, Fiktion mit Wirklichkeit zu verschmelzen
Game of Thrones
Die Kunst, Fiktion mit Wirklichkeit zu verschmelzen
  1. HBO Nächste Episode von Game of Thrones geleakt
  2. Hack Game-of-Thrones-Skript von HBO geleakt
  3. Game of Thrones "Der Winter ist da und hat leider unsere Server eingefroren"

Radeon RX Vega 64 im Test: Schnell und durstig mit Potenzial
Radeon RX Vega 64 im Test
Schnell und durstig mit Potenzial
  1. Workstation AMD bringt Radeon Pro WX 9100
  2. Grafikkarte Radeon RX Vega 64 kostet 500 US-Dollar
  3. Grafikkarte Erste Tests der Radeon Vega FE durchwachsen

Threadripper 1950X und 1920X im Test: AMD hat die schnellste Desktop-CPU
Threadripper 1950X und 1920X im Test
AMD hat die schnellste Desktop-CPU
  1. Ryzen AMD bestätigt Compiler-Fehler unter Linux
  2. CPU Achtkerniger Threadripper erscheint Ende August
  3. Ryzen 3 1300X und 1200 im Test Harte Gegner für Intels Core i3

  1. Re: Die machen's einfach...

    Trollversteher | 09:50

  2. Re: Season-Pass

    codefreak | 09:50

  3. Re: 5 Euro im Monat, um 22 Leuten beim...

    Flyman | 09:50

  4. Re: Fenster

    M.P. | 09:48

  5. Re: Das "perferkte" irgendetwas" gibt es nicht.

    pk_erchner | 09:47


  1. 10:00

  2. 09:54

  3. 09:04

  4. 08:49

  5. 07:40

  6. 07:21

  7. 16:57

  8. 16:25


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel