Logo von Security

Suche
Abonnieren

Tägliche Top-News bei WhatsApp, Facebook Messenger, Telegram & Insta

preisvergleich_weiss

Recherche in 1.685.335 Produkten

Fabian A. Scherschel 17

Alert Löchrige TLS-Verbindungen: Fortinet stopft acht Jahre alte Project-Mogul-Lücke in FortiOS

Löchrige TLS-Verbindungen: Fortinet stopft acht Jahre alte Project-Mogul-Lücke in FortiOS

Bild: Fortinet

Fehler beim Aufbrechen von TLS-Verbindungen bei Fortinet-Geräten erlauben es Angreifern, beliebige Informationen in gesicherte Verbindungen einzuschleusen. Ähnliche Angriffe sind bereits seit acht Jahren bekannt.

Der Firewall-Hersteller Fortinet hat mehrere Sicherheitslücken in seinem Appliance-Betriebssystem FortiOS gestopft. Neben einer Lücke, über die Angreifer auf den Geräten per Cross-Site-Scripting (XSS) Schindluder treiben können, behebt das Sicherheitsupdate auch ein Problem mit SSL/TLS-Verbindungen, über die Angreifer beliebige Daten in eine solche Verbindung einschleusen können, ohne den eigentlichen Inhalt zu entschlüsseln. Diese Sicherheitslücke in TLS ist seit mindestens acht Jahren unter dem Namen Project Mogul und der CVE-Identifikationsnummer CVE-2009-3555 bekannt.

Anzeige

Ein Angreifer kann Fehler in SSL 3.0 und mehreren TLS-Versionen missbrauchen, bei denen bei einer Neuaushandlung einer Verbindung unter Umständen der Bezug zwischen alter und neuer Verbindung verloren geht. Dadurch kann ein Man-in-the-Middle dann Daten in die neue Verbindung einschleusen; allerdings ohne die zuvor übermittelten Daten entschlüsseln zu können. Andere Hersteller hatten damals ebenfalls mehrere Monate oder Jahre gebraucht, das Problem anzugehen – so hatte etwa Oracle die Lücke in einigen seiner Produkte Mitte 2011 gestopft. Das Update von Fortinet soll ein Missbrauch der TLS-Lücke verhindern, wenn sowohl der Client als auch der FortiOS-Server eine sichere Neuaushandlung der Verbindung unterstützen.

FortiOS ist betroffen, da die Entwickler anscheinend Fehler bei der SSL-Deep-Inspection-Funktion des Betriebssystems gemacht haben. Diese ist dazu da, SSL/TLS-Verbindungen aufzubrechen, um Angriffe auf die Systeme hinter der Firewall aufzuspüren. FortiOS 5.6.0, 5.4.0 bis 5.4.5 und aller Versionen bis 5.2 enthalten diese Schwachstelle. Laut dem Hersteller sollten Administratoren betroffene Systeme auf FortiOS 5.4.6 oder 5.6.1 aktualisieren.

Die XSS-Lücke betrifft FortiOS 5.6.0, 5.4.0 bis 5.4.5 und 5.2.0 bis 5.2.11. Hier empfiehlt sich laut Hersteller ein Update auf FortiOS 5.2.12, 5.4.6 oder 5.6.1. (fab)

17 Kommentare

Themen:

Anzeige
  1. Sicherheitslücken in FortiOS mit hohem Angriffsrisiko

    Sicherheitslücken in FortiOS mit hohem Angriffsrisiko

    Im Betriebssystem FortiOS klaffen zwei Schwachstellen. Sicherheitsupdates reparieren das System.

  2. DUHK-Angriff: Zufallszahlengenerator ermöglicht Abhör-Attacke

    DUHK: Zufallszahlengenerator ermöglicht Abhör-Attacke auf zehntausende Geräte

    Don't Use Hardcoded Keys: Mehr als 25.000 übers Internet erreichbare Fortinet-Geräte sind anfällig für passive Lauschangriffe gegen verschlüsselte Verbindungen. Verantwortlich ist fehlender Zufall.

  3. FortiOS: Updates schützen unter anderem vor Cross-Site-Scripting

    FortiOS: Updates schützen unter anderem vor Cross-Site-Scripting

    Fortinet warnt vor einer Lücke in seinem Betriebssystem FortiOS für FortiGate-Produkte. Einige Updates stehen schon bereit; weitere folgen in Kürze.

  4. Sicherheitsupdate: Fake-Admin könnte FortiWeb Appliances kompromittieren

    Sicherheitsupdate: Fake-Admin kann FortiWeb Appliances kompromittieren

    Fortinet schließt eine Sicherheitslücke im FortiWeb Manager. Das Angriffsrisiko gilt als hoch.

  1. SSL/TLS-Netzwerkprogrammierung mit Boost.Asio, Teil 1: Grundlagen

    SSL/TLS-Netzwerkprogrammierung mit Boost.Asio - Teil 1: Grundlagen

    Im Umfeld von C++ verspricht Boost.Asio, eine einfache, plattformübergreifende Möglichkeit zur Netzwerkprogrammierung zu sein. Dazu gehört auch das Absichern der Verbindungen mit SSL beziehungsweise TLS.

  2. Einführung in Node.js, Folge 14: Websockets

    WebSockets sind ein TCP-basiertes Netzwerkprotokoll, das eine dauerhafte und bidirektionale Verbindung zwischen Client und Server ermöglicht. Auf dem Weg lassen sich beispielsweise Push-Nachrichten zeitnah zustellen, ohne aufwändiges Polling betreiben zu müssen. Wie funktioniert das unter Node.js?

  3. Sicher surfen in öffentlichen WLAN-Netzen

    Wusstest du, dass öffentliche WLAN-Netze alles andere als sicher sind? Wir zeigen dir, wie du sie nutzen kannst, ohne dir Sorgen machen zu müssen.

  1. Samsung 860 Evo/Pro: neue SSDs für Desktop-Rechner

    Samsung bringt neue SSDs für Desktop-Rechner

    Rund drei Jahre hatte Samsung die SSDs aus den 850er Serien im Programm, nun kommen die Nachfolger. heise online konnte die Pro und Evo-Modelle der 860er Serie bereits testen.

  2. DJI Mavic Air geleakt: 4K-Drohne mit 21 Minuten Flugzeit

    DJI Mavic Air geleakt: 4K-Drohne mit 21 Minuten Flugzeit

    Schon vor der offiziellen Präsentation sind Bilder und Daten der DJI Mavic Air im Netz gelandet. Bei dem neuen Quadrocopter handelt es sich um eine Mischung aus Mavic Pro und der preiswerten Minidrohne Spark.

  3. Snowden-App Haven: Einsatz kaum mit deutschem Recht vereinbar

    Snowden-App Haven: In Deutschland rechtlich kaum benutzbar

    Die Privacy-App Haven soll vor Spionage-Angriffen schützen. Der Gebrauch ist allerdings in Deutschland rechtlich problematisch - sogar Freiheitsstrafe droht.

  4. Test: Jaguar XF Sportbrake 25d

    Jaguar XF Sportbrake

    Zwei Jahre nach der Limousine ist der Jaguar XF endlich auch als Kombi zu haben. Formal darf der als gelungen gelten, doch Schönheit allein wird ihm in dieser Klasse keinen dauerhaften Erfolg bringen. Wie fährt sich der XF Sportbrake mit dem 240-PS-Diesel? Ein Test sollte das klären

Anzeige