Abo
  • IT-Karriere:

Ticketbleed: F5-Firewall hat ein blutendes Herz

Wie Heartbleed, nur in klein und nur bei Produkten von F5: Die Ticketbleed-Schwachstelle ermöglicht einem Angreifer, SSL-Session-IDs auszulesen. Es gibt einen Patch und einen einfachen Workaround.

Artikel veröffentlicht am ,
Big-IP-Geräte von F5 waren von der Ticketbleed-Lücke betroffen.
Big-IP-Geräte von F5 waren von der Ticketbleed-Lücke betroffen. (Bild: Servershop24/F5)

Enterprise-Firewalls des Herstellers F5 haben eine Sicherheitslücke, die an Heartbleed erinnert. Unter bestimmten Bedingungen gibt die Firewall private Informationen frei. Gefunden hat die Sicherheitslücke Filippo Valsorda, während er eine Fehlermeldung eines Cloudflare-Kunden bearbeitete. Es wurde die CVE-2016-9244 vergeben.

Stellenmarkt
  1. Schwarz Dienstleistung KG, Raum Neckarsulm
  2. Bibliotheksservice-Zentrum Baden-Württemberg (BSZ), Konstanz

Das Problem tritt auf, wenn virtuelle Maschinen auf der Firewall laufen und die standardmäßig nicht aktive SSL-Ticket-Option aktiviert wurde. F5 schreibt dazu in einem Security Advisory: "Ein Angreifer könnte diese Schwachstelle aus der Ferne ausnutzen, um Secure Sockets Layer (SSL) Session-IDs von anderen Sitzungen auszulesen. Es ist möglich, dass andere Daten aus nicht initialisierten Speicherbereichen ebenfalls zurückgegeben werden können." Wer den bereitstehenden Patch nicht sofort einspielen kann, sollte die Session-Ticket-Funktion vorübergehend deaktivieren.

Nach der Analyse fand Valsorda, dass der Server nach Angabe einer Session-ID immer 32 Byte an Speicher zurückspielt, auch, wenn die Session-ID kürzer war. Ein Angreifer hätte im Extremfall also eine 1 Byte lange Session-ID schicken können und im Gegenzug 31 Byte an uninitialisiertem Speicher bekommen.

Cloudflares Railgun brachte den Fehler zum Vorschein

Entdeckt wurde die Schwachstelle nach der Fehlermeldung eines Cloudflare-Kunden, der das Cloudflare-Produkt Railgun nutzte. Railgun wird genutzt, um die Verbindungsgeschwindigkeit zwischen dem Ausgangsserver und dem Cloudflare-Datencenter zu verbessern. Beide Software-Endpunkte sind in Go geschrieben und verwenden daher den Go/TLS-Stack. Eine Fehlermeldung des Kunden war auf die zwischengeschaltete F5-Big-IP-Firewall zurückzuführen.

Ein Implementierungsproblem verwirrte offenbar die Session-Ticket-Funktion in der verwendeten TLS-Version 1.2. Session-Tickets werden verwendet, um verschlüsseltes Schlüsselmaterial aus einer früheren Verbindung an den Server zu senden, damit dieser die Verbindung sofort wiederaufnehmen kann, ohne eine neue Sitzung mit dem Client auszuhandeln.

Nach Angaben von Valsorda ist nicht ganz klar, welche Daten möglicherweise von einem Leak betroffen sein könnten. Bei der Herausgabe von nicht initialisiertem Speicher sollten aber keine Schlussfolgerungen getroffen werden, sondern das Sicherheitsproblem sollte schnellstmöglich behoben werden.



Anzeige
Hardware-Angebote
  1. (u. a. beide Spiele zu Ryzen 9 3000 oder 7 3800X Series, eines davon zu Ryzen 7 3700X/5 3600X/7...
  2. 64,90€ (Bestpreis!)

ImBackAlive 11. Feb 2017

Eh, ja - das ist mir bekannt. Ich kenne aber keine "SSL Tickets" ;)


Folgen Sie uns
       


Nintendo Switch Lite - Test

Die Nintendo Switch Lite sieht aus wie eine Switch, ist aber kompakter, leichter und damit gerade unterwegs eine sinnvolle Wahl - trotz einiger fehlender Funktionen.

Nintendo Switch Lite - Test Video aufrufen
Atari Portfolio im Retrotest: Endlich können wir unterwegs arbeiten!
Atari Portfolio im Retrotest
Endlich können wir unterwegs arbeiten!

Ende der 1980er Jahre waren tragbare PCs nicht gerade handlich, der Portfolio von Atari war eine willkommene Ausnahme: Der erste Palmtop-Computer der Welt war klein, leicht und weitestgehend DOS-kompatibel - ideal für Geschäftsreisende aus dem Jahr 1989 und Nerds aus dem Jahr 2019.
Ein Test von Tobias Költzsch

  1. Retrokonsole Hauptverantwortlicher des Atari VCS schmeißt hin

Internetprovider: P(y)ures Chaos
Internetprovider
P(y)ures Chaos

95 Prozent der Kunden des Internetproviders Pyur bewerten die Leistung auf renommierten Bewertungsportalen mit der Schulnote 6. Ein Negativrekord in der Branche. Was steckt hinter der desaströsen Kunden(un)zufriedenheit bei der Marke von Tele Columbus? Ein Selbstversuch.
Ein Erfahrungsbericht von Tarik Ahmia

  1. Bundesnetzagentur Nur 13 Prozent bekommen im Festnetz die volle Datenrate

Banken: Die Finanzbranche braucht eine neue Strategie für ihre IT
Banken
Die Finanzbranche braucht eine neue Strategie für ihre IT

Ob Deutsche Bank, Commerzbank oder DKB: Immer wieder wackeln Server und Anwendungen bei großen Finanzinstituten. Viele Kernbanksysteme sind zu alt für aktuelle Anforderungen. Die Branche sucht nach Auswegen.
Eine Analyse von Manuel Heckel

  1. Bafin Kunden beklagen mehr Störungen beim Online-Banking
  2. PSD2 Giropay soll bald nahezu allen Kunden zur Verfügung stehen
  3. Klarna Der Schrecken der traditionellen Banken

    •  /