FOSS-Firewall pfSense begegnet Heartbleed-Bug mit Doppel-Update
Vor erst einer Woche veröffentlichten die Entwickler das 2.1.1-Update der freien Open-Source-Firewall pfSense 2.1. Als Antwort auf den Heartbleed-Bug in OpenSSL schob das pfSense-Team nun schnell die Version 2.1.2 nach.
- Michael Plura
Das reguläre 2.1.1-Update für die pfSense-Firewall (siehe Test in kommender iX 05/2014) enthält vor allem eine lange Liste von Fehlerbereinigungen. Wichtig sind hier vor allem die Sicherheits-Fixes: Beim SNMP-Daemon "bsnmpd" wurde ein stackbasierter Bufferoverflow beseitigt. Der NTP-Server "ntpd" konnte missbraucht werden, um ohne Authentifizierung via monlist-Befehl eine Liste aktueller NTP-Clients zu erhalten und damit einen "NTP reflection attack" zu starten (CVE-2013-5211).
(Bild: Michael Plura)
Ein Fix für OpenSSL, der von FreeBSD 10 extra in die als Basis für pfSense verwendete Version 8.3 portiert wurde, verhinderte einen möglichen Crash von OpenSSL beim Empfang eines manipulierten TLS-Handshakes (CVE-2013-4353, CVE-2013-6449, CVE-2013-6450). Zusätzlich wurde die Kommunikation von pfSense mit den Entwickler-Servern auf HTTPS umgestellt, so dass Updates und Pakete nun verschlüsselt übertragen werden.
Im Bereich der Netzwerk-Schnittstellen wurden viele Treiber aktualisiert und der Support für Intels i210 und i354 Chips hinzugefügt. Die VLAN-Konfiguration wurde von Fehlern befreit und in Hinblick auf den Betrieb optimiert. Bei den Firewall-Regeln und im NAT gab es viele Verbesserungen vor allem im Bereich IPv6, beispielsweise beim "dhcpdv6" und beim Parsen der IP-Adressen in den Log-Dateien.
Die Web-GUI überprüft nun MAC-Adressen auch unter Berücksichtigung unterschiedlicher Schreibweisen und verhindert auf diese Weise Dubletten wie beispielsweise "AA:12:34:..." und "aa:12:34:...". Weitere Fixes betreffen das Captive Portal, VPNs, Zertifikate, die IPv4- und IPv6-DHCP-Server, das Loadbalancing und viele weitere kleine Probleme wie einen Crash beim Update auf einer ALIX-Hardware beim gleichzeitigen Erzeugen eines RRD-Graphen.
Das Heartbleed-Desaster
Drei Tage nach dem 2.1.1-Update von pfSense erschütterte der "Heartbleed-Bug" die IT-Welt: Durch die fehlende Überprüfung des Speicherzugriffs im TLS-Heartbeat-Erweiterung (keep-alive für TLS/DTLS) der OpenSSL-Verschlüsselungsbibliothek wird es Angreifern ermöglicht, bis zu 64 KByte Arbeitsspeicher von einem OpenSSL-Server auszulesen. In diesem Speicherbereich können sich alle möglichen Datenfragmente, also auch vertrauliche Daten, gültige Benutzernamen, Passwörter, private Schlüssel für Server-Zertifikate oder VPN-Zugänge, Cookies oder ganze E-Mails befinden. Mehr Informationen zu Heartbleed, den selbst Krypto-Legende Bruce Schneier als "Katastrophe" bezeichnet, bietet heise online gesammelt auf einer extra Themenseite, wo auch die Funktionsweise näher erläutert wird. Wem die technischen Erläuterungen zu kompliziert erscheinen kann sich das Heartbleed-Desaster sogar in Form eine einfaches Comics verinnerlichen.
pfSense 2.1.2-Update-Update
Das pfSense-Team hat vergleichsweise schnell reagiert und ein erneutes Update bereitgestellt. Wie im pfSense-Blog beschrieben, schließt das 2.1.2-Update nicht nur die Sicherheitslücke rund um den Heartbleed-Bug (CVE-2014-0160), sondern auch einen weiteren OpenSSL-Fehler, über den ein Side-Channel-Angriff möglich ist (CVE-2014-0076 oder "ECDSA Flaw").
Die Entwickler verdeutlichen dabei auch noch einmal das notwendige weitere Vorgehen, denn mit dem Update selbst ist es nicht getan. Da möglicherweise bereits Daten via Heartbleed "abgefischt" wurden, sollten Nutzer nach dem Update und einem Neustart der pfSense-Firewall unbedingt auch alle Passwörter ändern, neue Zertifikate erzeugen und die alten Zertifikate in eine "Certificate Revocation List" (CRL) eintragen.
Beide Updates lassen sich wie üblich über die pfSense-Web-GUI unter "System / Firmware" und die von Hand ausgelöste "Auto Upgrade"-Funktion einspielen.
Update 12:09 Uhr, 14.04.2014: Größe des maximal möglichen Speicherblocks von 16 KByte auf 64 KByte korrigiert. (jul)
