This discussion has been locked.

You can no longer post new replies to this discussion. If you have a question you can start a new discussion

CERT-Meldung: Schwachstellen in IPSec-ESP-Implem.

Hallo zusammen!

Heute kam vom "CERT-Bund -- Warn- und Informationsdient" die Meldung über "Schwachstellen in IPSec-ESP-Implementierungen".

Hier einige Quellangaben, wo mehr Infos dazu stehen:
http://www.heise.de/security/news/meldung/59438
http://www.niscc.gov.uk/niscc/docs/al-20050509-00386.html?lang=enl
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2005-0039

Unter heise Security steht:  Ursache des Problems ist die oft fehlende Integritätssicherung beim Einsatz von ESP unter IPSec im Tunnel Model.

Wie ist denn bei der ASL die "Integritätssicherung..." gelöst? Besteht das Problem auch bei der Astaro oder sind "wir" von diesem Bug nicht betroffen?

This thread was automatically locked due to age.

0 Stephan_Scholz over 20 years ago

Hallo,

das Problem, das in dem Paper beschrieben wird, existiert nur im Zusammenhang mit fehlender Authentifizierung (Zitat: "What is affected? Potentially any configuration of IPsec that uses Encapsulating Security Payload (ESP) in tunnel
mode with confidentiality only"). In jeder vernünftigen VPN-Umgebung sollte es eine Selbstverständlichkeit sein, dass Authentifizierung eingeschaltet ist. Auf der ASL lässt sich ohnehin kein Tunnel ohne Authentifizierung konfigurieren. Somit ist die ASL von dem Problem nicht betroffen, und wahrscheinlich auch ansonsten nur sehr wenige Hersteller. Zitat: "Solution: Any of the following methods can be used to rectify this issue: 1. Configure ESP to use both confidentiality and integrity protection. This is the recommended solution..."

Stephan
Cancel
Vote Up 0 Vote Down

Cancel
0 bagira over 20 years ago in reply to Stephan_Scholz

Stephan,
please be so kind and explain it in english for all posters ;-)
/bagira
Cancel
Vote Up 0 Vote Down

Cancel