Logo von Security

Suche
Abonnieren

Tägliche Top-News bei WhatsApp, Facebook Messenger, Telegram & Insta

preisvergleich_weiss

Recherche in 1.735.090 Produkten

Fabian A. Scherschel 17

Alert Löchrige TLS-Verbindungen: Fortinet stopft acht Jahre alte Project-Mogul-Lücke in FortiOS

Löchrige TLS-Verbindungen: Fortinet stopft acht Jahre alte Project-Mogul-Lücke in FortiOS

Bild: Fortinet

Fehler beim Aufbrechen von TLS-Verbindungen bei Fortinet-Geräten erlauben es Angreifern, beliebige Informationen in gesicherte Verbindungen einzuschleusen. Ähnliche Angriffe sind bereits seit acht Jahren bekannt.

Der Firewall-Hersteller Fortinet hat mehrere Sicherheitslücken in seinem Appliance-Betriebssystem FortiOS gestopft. Neben einer Lücke, über die Angreifer auf den Geräten per Cross-Site-Scripting (XSS) Schindluder treiben können, behebt das Sicherheitsupdate auch ein Problem mit SSL/TLS-Verbindungen, über die Angreifer beliebige Daten in eine solche Verbindung einschleusen können, ohne den eigentlichen Inhalt zu entschlüsseln. Diese Sicherheitslücke in TLS ist seit mindestens acht Jahren unter dem Namen Project Mogul und der CVE-Identifikationsnummer CVE-2009-3555 bekannt.

Anzeige

Ein Angreifer kann Fehler in SSL 3.0 und mehreren TLS-Versionen missbrauchen, bei denen bei einer Neuaushandlung einer Verbindung unter Umständen der Bezug zwischen alter und neuer Verbindung verloren geht. Dadurch kann ein Man-in-the-Middle dann Daten in die neue Verbindung einschleusen; allerdings ohne die zuvor übermittelten Daten entschlüsseln zu können. Andere Hersteller hatten damals ebenfalls mehrere Monate oder Jahre gebraucht, das Problem anzugehen – so hatte etwa Oracle die Lücke in einigen seiner Produkte Mitte 2011 gestopft. Das Update von Fortinet soll ein Missbrauch der TLS-Lücke verhindern, wenn sowohl der Client als auch der FortiOS-Server eine sichere Neuaushandlung der Verbindung unterstützen.

FortiOS ist betroffen, da die Entwickler anscheinend Fehler bei der SSL-Deep-Inspection-Funktion des Betriebssystems gemacht haben. Diese ist dazu da, SSL/TLS-Verbindungen aufzubrechen, um Angriffe auf die Systeme hinter der Firewall aufzuspüren. FortiOS 5.6.0, 5.4.0 bis 5.4.5 und aller Versionen bis 5.2 enthalten diese Schwachstelle. Laut dem Hersteller sollten Administratoren betroffene Systeme auf FortiOS 5.4.6 oder 5.6.1 aktualisieren.

Die XSS-Lücke betrifft FortiOS 5.6.0, 5.4.0 bis 5.4.5 und 5.2.0 bis 5.2.11. Hier empfiehlt sich laut Hersteller ein Update auf FortiOS 5.2.12, 5.4.6 oder 5.6.1. (fab)

17 Kommentare

Themen:

Anzeige
  1. Sicherheitslücken in FortiOS mit hohem Angriffsrisiko

    Sicherheitslücken in FortiOS mit hohem Angriffsrisiko

    Im Betriebssystem FortiOS klaffen zwei Schwachstellen. Sicherheitsupdates reparieren das System.

  2. DUHK-Angriff: Zufallszahlengenerator ermöglicht Abhör-Attacke

    DUHK: Zufallszahlengenerator ermöglicht Abhör-Attacke auf zehntausende Geräte

    Don't Use Hardcoded Keys: Mehr als 25.000 übers Internet erreichbare Fortinet-Geräte sind anfällig für passive Lauschangriffe gegen verschlüsselte Verbindungen. Verantwortlich ist fehlender Zufall.

  3. FortiOS: Updates schützen unter anderem vor Cross-Site-Scripting

    FortiOS: Updates schützen unter anderem vor Cross-Site-Scripting

    Fortinet warnt vor einer Lücke in seinem Betriebssystem FortiOS für FortiGate-Produkte. Einige Updates stehen schon bereit; weitere folgen in Kürze.

  4. Sicherheitsupdate: Fake-Admin könnte FortiWeb Appliances kompromittieren

    Sicherheitsupdate: Fake-Admin kann FortiWeb Appliances kompromittieren

    Fortinet schließt eine Sicherheitslücke im FortiWeb Manager. Das Angriffsrisiko gilt als hoch.

  1. VPN auf einer FritzBox einrichten

    VPN ist eine praktische Methode, um unterwegs eine sichere Verbindung zwischen Ihrem Heimnetz und Ihrem Laptop oder Tablet herzustellen.

  2. Android: Gerätemanager einrichten - so geht's

    Der Android-Geräte-Manager ("Find My Device") hilft, wenn Sie Ihr Smartphone verloren haben. Wir zeigen Ihnen, wie Sie die App richtig einrichten.

  3. Sicher surfen in öffentlichen WLAN-Netzen

    Wussten Sie, dass öffentliche WLAN-Netze alles andere als sicher sind? Wir zeigen Ihnen, wie Sie sie nutzen können, ohne sich Sorgen machen zu müssen.

  1. Keine Strafen: Österreich zieht neuem Datenschutz die Zähne

    Überlebensgroße Statuen, die herzlich lachen

    In letzter Minute nimmt Österreich der neuen EU-Datenschutzverordnung den Biss, die meisten Verstöße werden straffrei bleiben. Und Datenschutz-NGOs dürfen keinen Schadenersatz eintreiben.

  2. Vorstellung: BMW Concept iX3

    BMW concept iX3

    Der BMW iX3 nutzt als erster BMW die neue eDrive Plattform. Die technischen Daten sind vorläufig: über 200 kW Motorleistung, über 400 km Reichweite, über 70 kWh Batteriekapazität. Gebaut wird der iX3 vorerst in China. Dort wurde nun auch das induktive Laden für den 530e vorgestellt

  3. Fachkräfte: Klimaziele erfordern 100.000 Handwerker mehr für Sanierungen

    Fachkräfte, Fachkräftemangel, Arbeitsplätze

    Fachkräfte, darunter Handwerker und Techniker für Heizungs- und Anlagensteuerung, fehlen massiv, wenn die energetische Sanierung von Häusern zur Erreichung der deutschen Klimaziele durchgeführt werden soll.

  4. Datenschutzgrundverordnung in kleinen Firmen: DSGVO? – Nie gehört

    Datenschutzgrundverordnung in kleinen Firmen: DSGVO? – Nie gehört

    Die neuen Datenschutzbestimmungen nehmen auch kleinste Unternehmer in die Pflicht. Sind sie darauf vorbereitet? Die Uhr tickt. Bei Verstößen drohen empfindliche Bußgelder. Doch Grund zur Panik gibt es nicht, meinen Datenschützer.

Anzeige