Fehler in Junipers NetScreen Instant Virtual Extranet erleichtert Angriffe
Das Passwort-Management von Junipers NetScreen Instant Virtual Extranet (IVE) erleichert unter bestimmten Umständen Brute-Force-Attacken zum Knacken von Accounts.
Das Passwort-Management von Junipers NetScreen/Neoteris Instant Virtual Extranet (IVE) erleichert unter bestimmten Umständen Brute-Force-Attacken zum Knacken von Accounts. NetScreen IVE ist eine SSL-VPN-Lösung, beispielsweise für den Zugriff auf Server im Unternehmensnetzwerk über einen normalen Web-Browser.
Läuft das Passwort eines gültigen Nutzerkontos ab, so wird der Anwender beim nächsten Anmeldeversuch auf das Skript changepassword.cgi umgeleitet. Dort ist zunächst das Login mit dem alten Passwort erforderlich, allerdings ist die Anzahl möglicher Fehlversuche dort nicht begrenzt. Ein Angreifer kann mit Kenntnis eines gültigen Kontos, dessen Passwort abgelaufen ist, beliebig viele Passwörter durchprobieren. Laut Advisory sind aber nur Systeme anfällig, die LDAP- oder NT-Domänen-Server zur Authentifizierung benutzen.
Betroffen sind die Versionen Instant Virtual Extranet 3.x und 4.x. Juniper hat einen Patch entwickelt, der fĂĽr registierte Kunden zum Download bereit liegt
Siehe dazu auch: (dab)
- Security Advisory von Gosecure
