Menü
Alert!

IPSec-Lösung Openswan akzeptiert manipulierte Zertifikate

vorlesen Drucken Kommentare lesen 6 Beiträge

In Openswan, einer Implementierung von IPSec für Linux, ist ein kritisches Sicherheitsloch in der Überprüfung von Zertifikaten enhalten. Openswan erweitert FreeS/WAN um zusätzliche Features, etwa Zertifikats-basierte Authentifizierung. Laut Thomas Walpuski kann sich ein Angreifer durch das Senden von PKCS#7-Nachrichten mit manipuliertem CA- und Nutzerzertifikat an einem verwundbaren Gateway anmelden. Unter Umständen stürzt der VPN-Dienst auch ab.

Ist das Attribut Subject-DN in beiden Zertifikaten gleich, so speichert das Gateway aufgrund eines Fehlers in der Funktion verify_x509cert() das CA-Zertifikat im eigenen Zertifikatsspeicher. In der Folge akzeptiert es dazu passende Nutzer-Zertifikate und gewährt Zugang zum geschützen System oder Netzwerk. Betroffen ist Version 2.1.2 und vorherige. Auch strongSwan ist von dem Fehler betroffen, da die gleiche Codebasis für die Verarbeitung von Zertifikaten verwendet wird. Openswan 2.1.4 und strongSwan 2.1.3 enthalten die Fehler nicht mehr. Der Linux-Distributor Gentoo hat ebenfalls schon neue Pakete zur Verfügung gestellt.

Siehe dazu auch: (dab)