Abo
  • Services:

Ticketbleed: F5-Firewall hat ein blutendes Herz

Wie Heartbleed, nur in klein und nur bei Produkten von F5: Die Ticketbleed-Schwachstelle ermöglicht einem Angreifer, SSL-Session-IDs auszulesen. Es gibt einen Patch und einen einfachen Workaround.

Artikel veröffentlicht am ,
Big-IP-Geräte von F5 waren von der Ticketbleed-Lücke betroffen.
Big-IP-Geräte von F5 waren von der Ticketbleed-Lücke betroffen. (Bild: Servershop24/F5)

Enterprise-Firewalls des Herstellers F5 haben eine Sicherheitslücke, die an Heartbleed erinnert. Unter bestimmten Bedingungen gibt die Firewall private Informationen frei. Gefunden hat die Sicherheitslücke Filippo Valsorda, während er eine Fehlermeldung eines Cloudflare-Kunden bearbeitete. Es wurde die CVE-2016-9244 vergeben.

Stellenmarkt
  1. Sky Deutschland GmbH, Unterföhring bei München
  2. Universität Passau, Passau

Das Problem tritt auf, wenn virtuelle Maschinen auf der Firewall laufen und die standardmäßig nicht aktive SSL-Ticket-Option aktiviert wurde. F5 schreibt dazu in einem Security Advisory: "Ein Angreifer könnte diese Schwachstelle aus der Ferne ausnutzen, um Secure Sockets Layer (SSL) Session-IDs von anderen Sitzungen auszulesen. Es ist möglich, dass andere Daten aus nicht initialisierten Speicherbereichen ebenfalls zurückgegeben werden können." Wer den bereitstehenden Patch nicht sofort einspielen kann, sollte die Session-Ticket-Funktion vorübergehend deaktivieren.

Nach der Analyse fand Valsorda, dass der Server nach Angabe einer Session-ID immer 32 Byte an Speicher zurückspielt, auch, wenn die Session-ID kürzer war. Ein Angreifer hätte im Extremfall also eine 1 Byte lange Session-ID schicken können und im Gegenzug 31 Byte an uninitialisiertem Speicher bekommen.

Cloudflares Railgun brachte den Fehler zum Vorschein

Entdeckt wurde die Schwachstelle nach der Fehlermeldung eines Cloudflare-Kunden, der das Cloudflare-Produkt Railgun nutzte. Railgun wird genutzt, um die Verbindungsgeschwindigkeit zwischen dem Ausgangsserver und dem Cloudflare-Datencenter zu verbessern. Beide Software-Endpunkte sind in Go geschrieben und verwenden daher den Go/TLS-Stack. Eine Fehlermeldung des Kunden war auf die zwischengeschaltete F5-Big-IP-Firewall zurückzuführen.

Ein Implementierungsproblem verwirrte offenbar die Session-Ticket-Funktion in der verwendeten TLS-Version 1.2. Session-Tickets werden verwendet, um verschlüsseltes Schlüsselmaterial aus einer früheren Verbindung an den Server zu senden, damit dieser die Verbindung sofort wiederaufnehmen kann, ohne eine neue Sitzung mit dem Client auszuhandeln.

Nach Angaben von Valsorda ist nicht ganz klar, welche Daten möglicherweise von einem Leak betroffen sein könnten. Bei der Herausgabe von nicht initialisiertem Speicher sollten aber keine Schlussfolgerungen getroffen werden, sondern das Sicherheitsproblem sollte schnellstmöglich behoben werden.



Anzeige
Top-Angebote
  1. Für 150€ kaufen und 75€ sparen
  2. (heute u. a. Aerocool P7-C1 Pro 99,90€, Asus ROG-Notebook 949,00€, Logitech G903 Maus 104,90€)

ImBackAlive 11. Feb 2017

Eh, ja - das ist mir bekannt. Ich kenne aber keine "SSL Tickets" ;)


Folgen Sie uns
       


3D Mark Raytracing Demo (RTX 2080 Ti vs. GTX 1080 Ti)

Wir haben die Raytracing Demo von 3D Mark auf Nvidias neuer Geforce RTX 2080 Ti und der älteren Geforce GTX 1080 Ti abspielen lassen.

3D Mark Raytracing Demo (RTX 2080 Ti vs. GTX 1080 Ti) Video aufrufen
Athlon 200GE im Test: Celeron und Pentium abgehängt
Athlon 200GE im Test
Celeron und Pentium abgehängt

Mit dem Athlon 200GE belebt AMD den alten CPU-Markennamen wieder: Der Chip gefällt durch seine Zen-Kerne und die integrierte Vega-Grafikeinheit, die Intel-Konkurrenz hat dem derzeit preislich wenig entgegenzusetzen.
Ein Test von Marc Sauter

  1. AMD Threadripper erhalten dynamischen NUMA-Modus
  2. HP Elitedesk 705 Workstation Edition Minitower mit AMD-CPU startet bei 680 Euro
  3. Ryzen 5 2600H und Ryzen 7 2800H 45-Watt-CPUs mit Vega-Grafik für Laptops sind da

Shine 3: Neuer Tolino-Reader bringt mehr Lesekomfort
Shine 3
Neuer Tolino-Reader bringt mehr Lesekomfort

Die Tolino-Allianz bringt das Nachfolgemodell des Shine 2 HD auf den Markt. Das Shine 3 erhält mehr Ausstattungsdetails aus der E-Book-Reader-Oberklasse. Vor allem beim Lesen macht sich das positiv bemerkbar.
Ein Hands on von Ingo Pakalski

  1. E-Book-Reader Update macht Tolino-Geräte unbrauchbar

Künstliche Intelligenz: Wie Computer lernen
Künstliche Intelligenz
Wie Computer lernen

Künstliche Intelligenz, Machine Learning und neuronale Netze zählen zu den wichtigen Buzzwords dieses Jahres. Oft wird der Eindruck vermittelt, dass Computer bald wie Menschen denken können. Allerdings wird bei dem Thema viel durcheinandergeworfen. Wir sortieren.
Von Miroslav Stimac

  1. Informationsfreiheitsbeauftragte Algorithmen für Behörden müssen diskriminierungsfrei sein
  2. Innotrans KI-System identifiziert Schwarzfahrer
  3. USA Pentagon fordert KI-Strategie fürs Militär

    •  /