Logo von Security

Suche
Abonnieren

Tägliche Top-News bei WhatsApp, Facebook Messenger, Telegram & Insta

preisvergleich_weiss

Recherche in 1.508.171 Produkten

Fabian A. Scherschel 16

Alert Löchrige TLS-Verbindungen: Fortinet stopft acht Jahre alte Project-Mogul-Lücke in FortiOS

Löchrige TLS-Verbindungen: Fortinet stopft acht Jahre alte Project-Mogul-Lücke in FortiOS

Bild: Fortinet

Fehler beim Aufbrechen von TLS-Verbindungen bei Fortinet-Geräten erlauben es Angreifern, beliebige Informationen in gesicherte Verbindungen einzuschleusen. Ähnliche Angriffe sind bereits seit acht Jahren bekannt.

Der Firewall-Hersteller Fortinet hat mehrere Sicherheitslücken in seinem Appliance-Betriebssystem FortiOS gestopft. Neben einer Lücke, über die Angreifer auf den Geräten per Cross-Site-Scripting (XSS) Schindluder treiben können, behebt das Sicherheitsupdate auch ein Problem mit SSL/TLS-Verbindungen, über die Angreifer beliebige Daten in eine solche Verbindung einschleusen können, ohne den eigentlichen Inhalt zu entschlüsseln. Diese Sicherheitslücke in TLS ist seit mindestens acht Jahren unter dem Namen Project Mogul und der CVE-Identifikationsnummer CVE-2009-3555 bekannt.

Ein Angreifer kann Fehler in SSL 3.0 und mehreren TLS-Versionen missbrauchen, bei denen bei einer Neuaushandlung einer Verbindung unter Umständen der Bezug zwischen alter und neuer Verbindung verloren geht. Dadurch kann ein Man-in-the-Middle dann Daten in die neue Verbindung einschleusen; allerdings ohne die zuvor übermittelten Daten entschlüsseln zu können. Andere Hersteller hatten damals ebenfalls mehrere Monate oder Jahre gebraucht, das Problem anzugehen – so hatte etwa Oracle die Lücke in einigen seiner Produkte Mitte 2011 gestopft. Das Update von Fortinet soll ein Missbrauch der TLS-Lücke verhindern, wenn sowohl der Client als auch der FortiOS-Server eine sichere Neuaushandlung der Verbindung unterstützen.

Update auf abgesicherte FortiOS-Versionen

FortiOS ist betroffen, da die Entwickler anscheinend Fehler bei der SSL-Deep-Inspection-Funktion des Betriebssystems gemacht haben. Diese ist dazu da, SSL/TLS-Verbindungen aufzubrechen, um Angriffe auf die Systeme hinter der Firewall aufzuspüren. FortiOS 5.6.0, 5.4.0 bis 5.4.5 und aller Versionen bis 5.2 enthalten diese Schwachstelle. Laut dem Hersteller sollten Administratoren betroffene Systeme auf FortiOS 5.4.6 oder 5.6.1 aktualisieren.

Die XSS-Lücke betrifft FortiOS 5.6.0, 5.4.0 bis 5.4.5 und 5.2.0 bis 5.2.11. Hier empfiehlt sich laut Hersteller ein Update auf FortiOS 5.2.12, 5.4.6 oder 5.6.1. (fab)

16 Kommentare

Themen:

Anzeige
  1. Sicherheitslücken in FortiOS mit hohem Angriffsrisiko

    Sicherheitslücken in FortiOS mit hohem Angriffsrisiko

    Im Betriebssystem FortiOS klaffen zwei Schwachstellen. Sicherheitsupdates reparieren das System.

  2. DUHK-Angriff: Zufallszahlengenerator ermöglicht Abhör-Attacke

    DUHK: Zufallszahlengenerator ermöglicht Abhör-Attacke auf zehntausende Geräte

    Don't Use Hardcoded Keys: Mehr als 25.000 übers Internet erreichbare Fortinet-Geräte sind anfällig für passive Lauschangriffe gegen verschlüsselte Verbindungen. Verantwortlich ist fehlender Zufall.

  3. Notfall-Update für Adobe Flash Player – jetzt patchen!

    Adobe

    Eine Sicherheitslücke in Adobes Flash Player ermöglicht die Remote Code Execution. Sie wird bereits aktiv von Angreifern missbraucht. Updates stehen bereit und sollten so schnell wie möglich eingespielt werden.

  4. Vorsicht beim Shoppen im Zug: WIFIonICE manipuliert PayPal

    Vorsicht beim Shoppen in der Bahn - WIFIonICE kapert PayPal

    Das kostenlose Funknetz der Bahn verhindert eine gesicherte Verbindung zum Bezahldienstleister PayPal und liefert dabei ein dubioses Zertifikat. Andere HTTPS-Verbindungen sind anscheinend nicht betroffen.

  1. SSL/TLS-Netzwerkprogrammierung mit Boost.Asio, Teil 1: Grundlagen

    SSL/TLS-Netzwerkprogrammierung mit Boost.Asio - Teil 1: Grundlagen

    Im Umfeld von C++ verspricht Boost.Asio, eine einfache, plattformübergreifende Möglichkeit zur Netzwerkprogrammierung zu sein. Dazu gehört auch das Absichern der Verbindungen mit SSL beziehungsweise TLS.

  2. Software-Updates für Android - so klappt’s

    Software-Updates für dein Android-Smartphone durchzuführen ist ganz einfach. Hier erfährst du, wie es funktioniert.

  3. Einführung in Node.js, Folge 14: Websockets

    WebSockets sind ein TCP-basiertes Netzwerkprotokoll, das eine dauerhafte und bidirektionale Verbindung zwischen Client und Server ermöglicht. Auf dem Weg lassen sich beispielsweise Push-Nachrichten zeitnah zustellen, ohne aufwändiges Polling betreiben zu müssen. Wie funktioniert das unter Node.js?

  1. Erste Ausfahrt: Jaguar E-Pace

    Jaguar E-Pace

    SUV plus gehobenes Image gleich Erfolg? Für Jaguar könnte diese Rechnung mit dem neuen E-Pace aufgehen. Eine erste Ausfahrt zeigt jedoch, dass ein klangvoller Name nicht alle Schwächen überdecken kann

  2. Vodafone schaltet UMTS-Femtozellen ab

    SIM Karte

    Vodafone kündigt Verträge für UMTS-Femtozellen, die in Gebäuden für eine bessere Mobilfunkanbindung sorgen.

Anzeige