Abo
  • Services:
Anzeige
Big-IP-Geräte von F5 waren von der Ticketbleed-Lücke betroffen.
Big-IP-Geräte von F5 waren von der Ticketbleed-Lücke betroffen. (Bild: Servershop24/F5)

Ticketbleed: F5-Firewall hat ein blutendes Herz

Big-IP-Geräte von F5 waren von der Ticketbleed-Lücke betroffen.
Big-IP-Geräte von F5 waren von der Ticketbleed-Lücke betroffen. (Bild: Servershop24/F5)

Wie Heartbleed, nur in klein und nur bei Produkten von F5: Die Ticketbleed-Schwachstelle ermöglicht einem Angreifer, SSL-Session-IDs auszulesen. Es gibt einen Patch und einen einfachen Workaround.

Enterprise-Firewalls des Herstellers F5 haben eine Sicherheitslücke, die an Heartbleed erinnert. Unter bestimmten Bedingungen gibt die Firewall private Informationen frei. Gefunden hat die Sicherheitslücke Filippo Valsorda, während er eine Fehlermeldung eines Cloudflare-Kunden bearbeitete. Es wurde die CVE-2016-9244 vergeben.

Anzeige

Das Problem tritt auf, wenn virtuelle Maschinen auf der Firewall laufen und die standardmäßig nicht aktive SSL-Ticket-Option aktiviert wurde. F5 schreibt dazu in einem Security Advisory: "Ein Angreifer könnte diese Schwachstelle aus der Ferne ausnutzen, um Secure Sockets Layer (SSL) Session-IDs von anderen Sitzungen auszulesen. Es ist möglich, dass andere Daten aus nicht initialisierten Speicherbereichen ebenfalls zurückgegeben werden können." Wer den bereitstehenden Patch nicht sofort einspielen kann, sollte die Session-Ticket-Funktion vorübergehend deaktivieren.

Nach der Analyse fand Valsorda, dass der Server nach Angabe einer Session-ID immer 32 Byte an Speicher zurückspielt, auch, wenn die Session-ID kürzer war. Ein Angreifer hätte im Extremfall also eine 1 Byte lange Session-ID schicken können und im Gegenzug 31 Byte an uninitialisiertem Speicher bekommen.

Cloudflares Railgun brachte den Fehler zum Vorschein

Entdeckt wurde die Schwachstelle nach der Fehlermeldung eines Cloudflare-Kunden, der das Cloudflare-Produkt Railgun nutzte. Railgun wird genutzt, um die Verbindungsgeschwindigkeit zwischen dem Ausgangsserver und dem Cloudflare-Datencenter zu verbessern. Beide Software-Endpunkte sind in Go geschrieben und verwenden daher den Go/TLS-Stack. Eine Fehlermeldung des Kunden war auf die zwischengeschaltete F5-Big-IP-Firewall zurückzuführen.

Ein Implementierungsproblem verwirrte offenbar die Session-Ticket-Funktion in der verwendeten TLS-Version 1.2. Session-Tickets werden verwendet, um verschlüsseltes Schlüsselmaterial aus einer früheren Verbindung an den Server zu senden, damit dieser die Verbindung sofort wiederaufnehmen kann, ohne eine neue Sitzung mit dem Client auszuhandeln.

Nach Angaben von Valsorda ist nicht ganz klar, welche Daten möglicherweise von einem Leak betroffen sein könnten. Bei der Herausgabe von nicht initialisiertem Speicher sollten aber keine Schlussfolgerungen getroffen werden, sondern das Sicherheitsproblem sollte schnellstmöglich behoben werden.


eye home zur Startseite
ImBackAlive 11. Feb 2017

Eh, ja - das ist mir bekannt. Ich kenne aber keine "SSL Tickets" ;)



Anzeige

Stellenmarkt
  1. Sky Deutschland Fernsehen GmbH & Co. KG, Unterföhring bei München
  2. Robert Bosch GmbH, Abstatt
  3. STI - Gustav Stabernack GmbH, Lauterbach
  4. Daimler AG, Stuttgart


Anzeige
Top-Angebote
  1. 299,00€
  2. 47,99€
  3. 29,97€

Folgen Sie uns
       


  1. Ivoxia NVX 200

    Tischtelefon für die Apple Watch 3

  2. Ultrabook

    Razer steckt vier Kerne in das Blade Stealth

  3. Schneeschieben

    Mercedes Benz räumt autonom

  4. Belegschaft

    Tesla soll Mitarbeiter zur Kostensenkung entlassen haben

  5. Datenbank

    Microsofts privater Bugtracker ist 2013 gehackt worden

  6. Windows 10

    Fall Creators Update wird von Microsoft offiziell verteilt

  7. Robert Bigelow

    Aufblasbare Raumstation um den Mond soll 2022 starten

  8. Axon M

    ZTE stellt Smartphone mit zwei klappbaren Displays vor

  9. Fortnite Battle Royale

    Epic Games verklagt Cheater auf 150.000 US-Dollar

  10. Microsoft

    Das Surface Book 2 kommt in zwei Größen



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Science-Fiction wird real: Kampf der Robotergiganten
Science-Fiction wird real
Kampf der Robotergiganten
  1. Roboter Megabots kündigt Video vom Roboterkampf an
  2. IFR Zahl der verkauften Haushaltsroboter steigt stark an
  3. Automatisierung Südkorea erwägt eine Robotersteuer

Arktika 1 im Test: Monster-verseuchte Eiszeitschönheit
Arktika 1 im Test
Monster-verseuchte Eiszeitschönheit
  1. TPCast Oculus Rift erhält Funkmodul
  2. Oculus Go Alleine lauffähiges VR-Headset für 200 US-Dollar vorgestellt
  3. Virtual Reality Update bindet Steam-Rift in Oculus Home ein

ZFS ausprobiert: Ein Dateisystem fürs Rechenzentrum im privaten Einsatz
ZFS ausprobiert
Ein Dateisystem fürs Rechenzentrum im privaten Einsatz
  1. Librem 5 Purism zeigt Funktionsprototyp für freies Linux-Smartphone
  2. Pipewire Fedora bekommt neues Multimedia-Framework
  3. Linux-Desktops Gnome 3.26 räumt die Systemeinstellungen auf

  1. Re: Bitte nicht schon wieder ...

    MrHurz | 07:47

  2. Re: warum kommt das 15" nicht bei uns

    underlines | 07:45

  3. Re: 4 GB Download und 7 Monate drauf warten

    exxo | 07:45

  4. Re: VPN, VPN, VPN

    Silent_GSG9 | 07:43

  5. Natürliche Fluktuation

    exxo | 07:42


  1. 07:59

  2. 07:46

  3. 07:34

  4. 07:23

  5. 21:08

  6. 19:00

  7. 18:32

  8. 17:48


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel