• IT-Karriere:
  • Services:

Ticketbleed: F5-Firewall hat ein blutendes Herz

Wie Heartbleed, nur in klein und nur bei Produkten von F5: Die Ticketbleed-Schwachstelle ermöglicht einem Angreifer, SSL-Session-IDs auszulesen. Es gibt einen Patch und einen einfachen Workaround.

Artikel veröffentlicht am ,
Big-IP-Geräte von F5 waren von der Ticketbleed-Lücke betroffen.
Big-IP-Geräte von F5 waren von der Ticketbleed-Lücke betroffen. (Bild: Servershop24/F5)

Enterprise-Firewalls des Herstellers F5 haben eine Sicherheitslücke, die an Heartbleed erinnert. Unter bestimmten Bedingungen gibt die Firewall private Informationen frei. Gefunden hat die Sicherheitslücke Filippo Valsorda, während er eine Fehlermeldung eines Cloudflare-Kunden bearbeitete. Es wurde die CVE-2016-9244 vergeben.

Stellenmarkt
  1. Deutsche Rentenversicherung Bund, Berlin
  2. Dataport, verschiedene Standorte

Das Problem tritt auf, wenn virtuelle Maschinen auf der Firewall laufen und die standardmäßig nicht aktive SSL-Ticket-Option aktiviert wurde. F5 schreibt dazu in einem Security Advisory: "Ein Angreifer könnte diese Schwachstelle aus der Ferne ausnutzen, um Secure Sockets Layer (SSL) Session-IDs von anderen Sitzungen auszulesen. Es ist möglich, dass andere Daten aus nicht initialisierten Speicherbereichen ebenfalls zurückgegeben werden können." Wer den bereitstehenden Patch nicht sofort einspielen kann, sollte die Session-Ticket-Funktion vorübergehend deaktivieren.

Nach der Analyse fand Valsorda, dass der Server nach Angabe einer Session-ID immer 32 Byte an Speicher zurückspielt, auch, wenn die Session-ID kürzer war. Ein Angreifer hätte im Extremfall also eine 1 Byte lange Session-ID schicken können und im Gegenzug 31 Byte an uninitialisiertem Speicher bekommen.

Cloudflares Railgun brachte den Fehler zum Vorschein

Entdeckt wurde die Schwachstelle nach der Fehlermeldung eines Cloudflare-Kunden, der das Cloudflare-Produkt Railgun nutzte. Railgun wird genutzt, um die Verbindungsgeschwindigkeit zwischen dem Ausgangsserver und dem Cloudflare-Datencenter zu verbessern. Beide Software-Endpunkte sind in Go geschrieben und verwenden daher den Go/TLS-Stack. Eine Fehlermeldung des Kunden war auf die zwischengeschaltete F5-Big-IP-Firewall zurückzuführen.

Ein Implementierungsproblem verwirrte offenbar die Session-Ticket-Funktion in der verwendeten TLS-Version 1.2. Session-Tickets werden verwendet, um verschlüsseltes Schlüsselmaterial aus einer früheren Verbindung an den Server zu senden, damit dieser die Verbindung sofort wiederaufnehmen kann, ohne eine neue Sitzung mit dem Client auszuhandeln.

Nach Angaben von Valsorda ist nicht ganz klar, welche Daten möglicherweise von einem Leak betroffen sein könnten. Bei der Herausgabe von nicht initialisiertem Speicher sollten aber keine Schlussfolgerungen getroffen werden, sondern das Sicherheitsproblem sollte schnellstmöglich behoben werden.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Hardware-Angebote
  1. (reduzierte Überstände, Restposten & Co.)

ImBackAlive 11. Feb 2017

Eh, ja - das ist mir bekannt. Ich kenne aber keine "SSL Tickets" ;)


Folgen Sie uns
       


Mechwarrior 5 - 8 Minuten Gameplay

In Mechwarrior 5 setzen wir uns einmal mehr in einen tonnenschweren Kampfroboter und schmelzen die gegnerischen Metallungetüme. Zuvor rüsten wir unseren stampfenden Mech aber mit entsprechenden Waffen aus.

Mechwarrior 5 - 8 Minuten Gameplay Video aufrufen
Amazon, Netflix und Sky: Disney bringt 2020 den großen Umbruch beim Videostreaming
Amazon, Netflix und Sky
Disney bringt 2020 den großen Umbruch beim Videostreaming

In diesem Jahr wird sich der Video-Streaming-Markt in Deutschland stark verändern. Der Start von Disney+ setzt Netflix, Amazon und Sky gehörig unter Druck. Die ganz großen Umwälzungen geschehen vorerst aber woanders.
Eine Analyse von Ingo Pakalski

  1. Peacock NBC Universal setzt gegen Netflix auf Gratis-Streaming
  2. Joyn Plus+ Probleme bei der Kündigung
  3. Android TV Magenta-TV-Stick mit USB-Anschluss vergünstigt erhältlich

Schräges von der CES 2020: Die Connected-Kartoffel
Schräges von der CES 2020
Die Connected-Kartoffel

CES 2020 Wer geglaubt hat, er hätte schon alles gesehen, musste sich auch dieses Jahr auf der CES eines Besseren belehren lassen. Wir haben uns die Zukunft der Kartoffel angesehen: Sie ist smart.
Ein Bericht von Martin Wolf

  1. Smart Lock Netatmo und Yale zeigen smarte Türschlösser
  2. Eracing Simulator im Hands on Razers Renn-Simulator bringt uns zum Schwitzen
  3. Zu lange Ladezeiten Ford setzt auf Hybridantrieb bei autonomen Taxis

Elektroautos in Tiefgaragen: Was tun, wenn's brennt?
Elektroautos in Tiefgaragen
Was tun, wenn's brennt?

Was kann passieren, wenn Elektroautos in einer Tiefgarage brennen? Während Brandschutzexperten dringend mehr Forschung fordern und ein Parkverbot nicht ausschließen, wollen die Bundesländer die Garagenverordnung verschärfen.
Eine Analyse von Friedhelm Greis

  1. Mercedes E-Econic Daimler elektrifiziert den Müllwagen
  2. Umweltprämie für Elektroautos Regierung verzögert Prüfung durch EU-Kommission
  3. Intransparente Preise Verbraucherschützer mahnen Ladenetzbetreiber New Motion ab

    •  /