Sicherheitsloch in Authentifizierung von KAMEs IKE-Dienst
Der IKE-Dienst des KAME-Projektes Racoon erkennt eigentlich ungültige Zertifikate fälschlicherweise als gültig an.
Der IKE-Dienst des KAME-Projektes Racoon erkennt eigentlich ungültige Zertifikate fälschlicherweise als gültig an. KAME ist eine freie Referenz-Implementierung von IPv6 und IPSec für verschiedene BSD-Varianten, die auch im Linux-Kernel 2.6 verwendet wird.
Nach Angaben von Thomas Walpuski liegt der Fehler in der Funktion eay_check_x509cert(). Auch wenn OpenSSL ein Zertifikat nicht validieren kann, weil es abgelaufen ist oder etwa die CA unbekannt ist, lässt Racoon trotzdem eine erfolgreiche Authentifizierung zu. Damit ist eine der elementaren Sicherheitsfunktionen von IPSec -- Authentifizierung nur mit zugelassenen Zertifikaten -- ausgehebelt. Welche Versionen genau betroffen sind, gibt Walpuski in seinem Advisory nicht an -- alle ihm bekannten Versionen seien verwundbar. Da ein Patch oder Workaround nicht verfügbar sind, rät er davon ab, Racoon weiter zu benutzen.
Bereits im April war eine SicherheitslĂĽcke in derselben Funktion von Racoon entdeckt worden. Unautorisierte Angreifer, die im Besitz eines gĂĽltigen und vertrauenswĂĽrdigen X.509-Zertifikats waren, konnten mit beliebigen privaten SchlĂĽsseln RSA-Signaturen erzeugen und in Phase 1 zur erfolgreichen Authentifizierung senden. Neben der Open-Source-Implementierung von KAME gibt es noch isakmpd von OpenBSD. Allerdings finden sich auch dort immer wieder SicherheitslĂĽcken.
Siehe dazu auch: (dab)
- Security Advisory von Thomas Walpuski
