• IT-Karriere:
  • Services:

Strongswan: IPsec-Implementierung akzeptiert leere Signaturen

In der Software Strongswan, die unter Linux und anderen Unix-Systemen für IPsec-Verbindungen eingesetzt wird, wurden ungültige Signaturen für das ECDSA-Verfahren akzeptiert. Eine gravierende Sicherheitslücke, die mehrere Jahre unentdeckt blieb.

Artikel veröffentlicht am , Hanno Böck
Kritische Sicherheitslücke in der freien IPsec-Implementierung
Kritische Sicherheitslücke in der freien IPsec-Implementierung (Bild: Strongswan)

Die Entwickler der IPsec-Implementierung Strongswan haben mit der Version 5.0.4 eine gravierende Sicherheitslücke behoben. Wie die Entwickler in ihrem Blog mitteilen, akzeptieren bisherige Versionen von Strongswan leere oder nur aus Nullen bestehende Signaturen für das ECDSA-Verfahren. Es ist also für einen Angreifer trivial möglich, Signaturen zu fälschen.

Stellenmarkt
  1. Statistisches Landesamt Rheinland-Pfalz, Bad Ems
  2. Auswärtiges Amt, Bonn, Berlin

Strongswan ist eine Implementierung des IPsec-Protokolls, mit dem sich verschlüsselte und authentifizierte IP-Verbindungen unter Linux und anderen Unix-Systemen realisieren lassen. Es ist zurzeit die meistverwendete Ipsec-Implementierung für Linux und ein Fork der Software FreeS/Wan, deren Entwicklung 2004 eingestellt wurde.

Das Problem bestand seit der Version 4.3.5, die bereits 2009 veröffentlicht wurde. Es tritt nur dann auf, wenn OpenSSL als Kryptographie-Bibliothek verwendet wird. Anwender, die von dem Problem möglicherweise betroffen sind, sollten die aktuelle Version 5.0.4 installieren oder einen von den Entwicklern bereitgestellten Patch einspielen. Das Problem hat die ID CVE-2013-2944 erhalten.

Die Strongswan-Entwickler weisen darauf hin, dass bereits im vergangenen Jahr eine ähnliche Sicherheitslücke gefunden wurde, die aber mit der aktuellen nichts zu tun hat. Bis zur Version 4.6.2 akzeptierte Strongswan unter bestimmten Umständen leere oder aus Nullen bestehende RSA-Signaturen. Der aktuelle Fehler hat allerdings mit der damaligen Sicherheitslücke nichts zu tun.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Top-Angebote
  1. 44€ + 2,99€ Versand oder kostenlose Marktabholung (Bestpreis mit Amazon. Vergleichspreis 53...
  2. 44€ (Bestpreis mit Saturn. Vergleichspreis 53,98€)
  3. (u. a. Intel 660p 2 TB für 224,90€ + 6,99€ Versand statt 251,79€ im Vergleich, MSI Optix...
  4. (u. a. McAfee Total Protection 2020 | 10 Geräte | 1 Jahr | PC/Mac/Smartphone/Tablet | Download...

.................. 04. Mai 2013

doch, es gibt seit 1-2 Monaten eine kostenlose openvpn App fuer ios, funktioniert auch...


Folgen Sie uns
       


24-zu-10-Monitor LG 38GL950G - Test

LGs 21:9-Monitor 38GL950G überzeugt durch gute Farben und sehr gute Leistung in Spielen und beim Filmeschauen. Allerdings gibt es einige Probleme beim Übertakten des Panels.

24-zu-10-Monitor LG 38GL950G - Test Video aufrufen
DSGVO: Nicht weniger als Staatsversagen
DSGVO
Nicht weniger als Staatsversagen

Unterfinanziert und wirkungslos - so zeigen sich die europäischen Datenschutzbehörden nach zwei Jahren DSGVO gegenüber Konzernen wie Google und Facebook.
Eine Analyse von Christiane Schulzki-Haddouti

  1. Datenschutzverstöße EuGH soll über Verbandsklagerecht entscheiden
  2. DSGVO Proton vergisst Git-Zugang auf Datenschutzwebseite
  3. DSGVO Iren sollen Facebook an EU-Datenschützer abgeben

Realme X50 Pro im Test: Der Oneplus-Killer
Realme X50 Pro im Test
Der Oneplus-Killer

Oneplus bezeichnete sich einst als "Flagship-Killer", mittlerweile stellt sich die Frage, wer hier für wen gefährlich wird: Das X50 Pro des Schwesterunternehmens Realme ist ein wahrer "Oneplus-Killer".
Ein Test von Tobias Költzsch

  1. Astro Slide Neues 5G-Smartphone mit aufschiebbarer Tastatur
  2. Galaxy S20 Ultra im Test Samsung beherrscht den eigenen Kamerasensor nicht
  3. Red Magic 5G Neues 5G-Gaming-Smartphone kommt mit 144-Hz-Display

Onboarding in Coronazeiten: Neu im Job und dann gleich Homeoffice
Onboarding in Coronazeiten
Neu im Job und dann gleich Homeoffice

In der Coronakrise starten neue Mitarbeiter aus der Ferne in ihren Job. Technisch ist das kein Problem, die Kultur kommt virtuell jedoch schwerer an.
Ein Bericht von Manuel Heckel

  1. Onlineshopping Weiterhin mehr Pakete als vor Beginn der Coronapandemie
  2. Corona IFA 2020 findet doch als physisches Event statt
  3. Corona Pariser Polizei darf keine Drohnen zur Überwachung verwenden

    •  /