Abo
  • Services:

Strongswan: IPsec-Implementierung akzeptiert leere Signaturen

In der Software Strongswan, die unter Linux und anderen Unix-Systemen für IPsec-Verbindungen eingesetzt wird, wurden ungültige Signaturen für das ECDSA-Verfahren akzeptiert. Eine gravierende Sicherheitslücke, die mehrere Jahre unentdeckt blieb.

Artikel veröffentlicht am , Hanno Böck
Kritische Sicherheitslücke in der freien IPsec-Implementierung
Kritische Sicherheitslücke in der freien IPsec-Implementierung (Bild: Strongswan)

Die Entwickler der IPsec-Implementierung Strongswan haben mit der Version 5.0.4 eine gravierende Sicherheitslücke behoben. Wie die Entwickler in ihrem Blog mitteilen, akzeptieren bisherige Versionen von Strongswan leere oder nur aus Nullen bestehende Signaturen für das ECDSA-Verfahren. Es ist also für einen Angreifer trivial möglich, Signaturen zu fälschen.

Stellenmarkt
  1. TeamBank AG, Nürnberg
  2. GK Software SE, Sankt Ingbert, Köln, Schöneck

Strongswan ist eine Implementierung des IPsec-Protokolls, mit dem sich verschlüsselte und authentifizierte IP-Verbindungen unter Linux und anderen Unix-Systemen realisieren lassen. Es ist zurzeit die meistverwendete Ipsec-Implementierung für Linux und ein Fork der Software FreeS/Wan, deren Entwicklung 2004 eingestellt wurde.

Das Problem bestand seit der Version 4.3.5, die bereits 2009 veröffentlicht wurde. Es tritt nur dann auf, wenn OpenSSL als Kryptographie-Bibliothek verwendet wird. Anwender, die von dem Problem möglicherweise betroffen sind, sollten die aktuelle Version 5.0.4 installieren oder einen von den Entwicklern bereitgestellten Patch einspielen. Das Problem hat die ID CVE-2013-2944 erhalten.

Die Strongswan-Entwickler weisen darauf hin, dass bereits im vergangenen Jahr eine ähnliche Sicherheitslücke gefunden wurde, die aber mit der aktuellen nichts zu tun hat. Bis zur Version 4.6.2 akzeptierte Strongswan unter bestimmten Umständen leere oder aus Nullen bestehende RSA-Signaturen. Der aktuelle Fehler hat allerdings mit der damaligen Sicherheitslücke nichts zu tun.



Anzeige
Hardware-Angebote
  1. täglich neue Deals bei Alternate.de

.................. 04. Mai 2013

doch, es gibt seit 1-2 Monaten eine kostenlose openvpn App fuer ios, funktioniert auch...


Folgen Sie uns
       


Die ersten 15 Minuten von Red Dead Online - Gameplay

Der Einstieg in Red Dead Online fühlt sich wie ein Abstieg an, zumindest für die, die in der Solokampagne von Red Dead Redemption 2 bereits weit gespielt haben.

Die ersten 15 Minuten von Red Dead Online - Gameplay Video aufrufen
Resident Evil 2 angespielt: Neuer Horror mit altbekannten Helden
Resident Evil 2 angespielt
Neuer Horror mit altbekannten Helden

Eigentlich ein Remake - tatsächlich aber fühlt sich Resident Evil 2 an wie ein neues Spiel: Golem.de hat mit Leon und Claire gegen Zombies und andere Schrecken von Raccoon City gekämpft.
Von Peter Steinlechner

  1. Resident Evil Monster und Mafia werden neu aufgelegt

Machine Learning: Wie Technik jede Stimme stehlen kann
Machine Learning
Wie Technik jede Stimme stehlen kann

Ein Unternehmen aus Südkorea arbeitet daran, Stimmen reproduzierbar und neu generierbar zu machen. Was für viele Branchen enorme Kosteneinsparungen bedeutet, könnte auch eine neue Dimension von Fake News werden.
Ein Bericht von Felix Lill

  1. AWS Amazon bietet seine Machine-Learning-Tutorials kostenlos an
  2. Random Forest, k-Means, Genetik Machine Learning anhand von drei Algorithmen erklärt
  3. Machine Learning Amazon verwirft sexistisches KI-Tool für Bewerber

Drahtlos-Headsets im Test: Ohne Kabel spielt sich's angenehmer
Drahtlos-Headsets im Test
Ohne Kabel spielt sich's angenehmer

Sie nerven und verdrehen sich in den Rollen unseres Stuhls: Kabel sind gerade bei Headsets eine Plage. Doch gibt es so viele Produkte, die darauf verzichten können. Wir testen das Alienware AW988, das Audeze Mobius, das Hyperx Cloud Flight und das Razer Nari Ultimate - und haben einen Favoriten.
Ein Test von Oliver Nickel

  1. Sieben Bluetooth-Ohrstöpsel im Test Jabra zeigt Apple, was den Airpods fehlt
  2. Ticpods Free Airpods-Konkurrenten mit Touchbedienung kosten 80 Euro
  3. Bluetooth-Ohrstöpsel im Vergleichstest Apples Airpods lassen hören und staunen

    •  /