Sicherheitsupdate für Novells BorderManager
Novell hat ein Update für die VPN-Software BorderManager herausgegeben. Das Update schließt eine Denial-of-Service-Lücke.
Für Novells VPN-Software BorderManager hat der Hersteller ein Update herausgegeben. Es behebt einen Denial-of-Service-Fehler. Im Rahmen der Rezertifizierung nach den ICSA-Richtlinien sind aber auch einige Verbesserungen eingeflossen, die die Sicherheit erhöhen.
Durch bestimmte IKE- und IPSec-Einstellungen kann ein Angreifer aus dem Netz einen Denial-of-Service gegen den BorderManager ausführen. Um den ICSA-Richtlinien zu genügen, hat Novell den Algorithmus zur Erzeugung von Zufallszahlen für Antwort-Cookies verbessert. Außerdem musste der Hersteller am Umgang mit den Security-Associations (SA) für den IPSec-Quick-Mode – der etwa IPSec mit dynamischen IPs gestattet – feilen, um die erneute Zertifizierung zu erlangen.
Die ICSA-Richtlinien umfassen etwa Teile der Common Criteria. Allerdings ist der Zertifizierungsprozess günstiger als bei anderen Prüfungen, die Software etwa für den Einsatz in Behörden bestehen muss.
Das Update setzt ein installiertes Service Pack 4 für den BorderManager 3.8 voraus. Nutzer der BorderManagers sollten den Patch zügig einspielen.
Siehe dazu auch: (dmk)
- BorderManager 3.8 POST SP4 Security Patch1, Sicherheitsmeldung mit Download von Novell
