Abo
  • Services:

Ticketbleed: F5-Firewall hat ein blutendes Herz

Wie Heartbleed, nur in klein und nur bei Produkten von F5: Die Ticketbleed-Schwachstelle ermöglicht einem Angreifer, SSL-Session-IDs auszulesen. Es gibt einen Patch und einen einfachen Workaround.

Artikel veröffentlicht am ,
Big-IP-Geräte von F5 waren von der Ticketbleed-Lücke betroffen.
Big-IP-Geräte von F5 waren von der Ticketbleed-Lücke betroffen. (Bild: Servershop24/F5)

Enterprise-Firewalls des Herstellers F5 haben eine Sicherheitslücke, die an Heartbleed erinnert. Unter bestimmten Bedingungen gibt die Firewall private Informationen frei. Gefunden hat die Sicherheitslücke Filippo Valsorda, während er eine Fehlermeldung eines Cloudflare-Kunden bearbeitete. Es wurde die CVE-2016-9244 vergeben.

Stellenmarkt
  1. Statistisches Bundesamt, Wiesbaden
  2. Robert Bosch GmbH, Stuttgart

Das Problem tritt auf, wenn virtuelle Maschinen auf der Firewall laufen und die standardmäßig nicht aktive SSL-Ticket-Option aktiviert wurde. F5 schreibt dazu in einem Security Advisory: "Ein Angreifer könnte diese Schwachstelle aus der Ferne ausnutzen, um Secure Sockets Layer (SSL) Session-IDs von anderen Sitzungen auszulesen. Es ist möglich, dass andere Daten aus nicht initialisierten Speicherbereichen ebenfalls zurückgegeben werden können." Wer den bereitstehenden Patch nicht sofort einspielen kann, sollte die Session-Ticket-Funktion vorübergehend deaktivieren.

Nach der Analyse fand Valsorda, dass der Server nach Angabe einer Session-ID immer 32 Byte an Speicher zurückspielt, auch, wenn die Session-ID kürzer war. Ein Angreifer hätte im Extremfall also eine 1 Byte lange Session-ID schicken können und im Gegenzug 31 Byte an uninitialisiertem Speicher bekommen.

Cloudflares Railgun brachte den Fehler zum Vorschein

Entdeckt wurde die Schwachstelle nach der Fehlermeldung eines Cloudflare-Kunden, der das Cloudflare-Produkt Railgun nutzte. Railgun wird genutzt, um die Verbindungsgeschwindigkeit zwischen dem Ausgangsserver und dem Cloudflare-Datencenter zu verbessern. Beide Software-Endpunkte sind in Go geschrieben und verwenden daher den Go/TLS-Stack. Eine Fehlermeldung des Kunden war auf die zwischengeschaltete F5-Big-IP-Firewall zurückzuführen.

Ein Implementierungsproblem verwirrte offenbar die Session-Ticket-Funktion in der verwendeten TLS-Version 1.2. Session-Tickets werden verwendet, um verschlüsseltes Schlüsselmaterial aus einer früheren Verbindung an den Server zu senden, damit dieser die Verbindung sofort wiederaufnehmen kann, ohne eine neue Sitzung mit dem Client auszuhandeln.

Nach Angaben von Valsorda ist nicht ganz klar, welche Daten möglicherweise von einem Leak betroffen sein könnten. Bei der Herausgabe von nicht initialisiertem Speicher sollten aber keine Schlussfolgerungen getroffen werden, sondern das Sicherheitsproblem sollte schnellstmöglich behoben werden.



Anzeige
Top-Angebote

ImBackAlive 11. Feb 2017

Eh, ja - das ist mir bekannt. Ich kenne aber keine "SSL Tickets" ;)


Folgen Sie uns
       


Parrot Anafi angesehen

Angucken ja, fliegen nein: Wir waren bei der Vorstellung der neuen Drohne von Parrot dabei.

Parrot Anafi angesehen Video aufrufen
Indiegames-Rundschau: Schiffbruch, Anime und viel Brummbrumm
Indiegames-Rundschau
Schiffbruch, Anime und viel Brummbrumm

Gas geben, den weißen Hai besiegen und endlich die eine verlorene Socke wiederfinden: Die sommerlichen Indiegames bieten für jeden etwas - besonders fürs Spielen zu zweit.
Von Rainer Sigl

  1. Indiegames-Rundschau Schwerelose Action statt höllischer Qualen
  2. Indiegames-Rundschau Kampfkrieger und Abenteuer in 1001 Nacht
  3. Indiegames-Rundschau Mutige Mäuse und tapfere Trabbis

Cruijff Arena: Ed Sheeran singt mit Strom aus Nissan-Leaf-Akkus
Cruijff Arena
Ed Sheeran singt mit Strom aus Nissan-Leaf-Akkus

Die Johann-Cruijff-Arena in Amsterdam ist weltweit das erste Stadion, das seine Energieversorgung mit einem Speichersystem sichert, das aus Akkus von Elektroautos besteht. Der englische Sänger Ed Sheeran hat mit dem darin gespeichertem Solarstrom schon seine Gitarre verstärkt.
Ein Bericht von Dirk Kunde

  1. Energiewende Warum die Bundesregierung ihre Versprechen nicht hält
  2. Max Bögl Wind Das höchste Windrad steht bei Stuttgart

Nasa-Teleskop: Überambitioniert, überteuert und in dieser Form überflüssig
Nasa-Teleskop
Überambitioniert, überteuert und in dieser Form überflüssig

Seit 1996 entwickelt die Nasa einen Nachfolger für das Hubble-Weltraumteleskop. Die Kosten dafür stiegen seit dem von 500 Millionen auf über 10 Milliarden US-Dollar. Bei Tests fiel das Prestigeprojekt zuletzt durch lockere Schrauben auf. Wie konnte es dazu kommen?
Von Frank Wunderlich-Pfeiffer

  1. Raumfahrt US-Regierung gibt der Nasa nicht mehr Geld für Mondflug

    •  /