Все новости от 15 ноября 2005 г. Ошибка в VPN угрожает интернет-трафику
Ошибка в ключевом протоколе интернет-безопасности, который используется в большинстве сетевых продуктов, может сделать системы беззащитными перед атаками на отказ в обслуживании и другими видами атак, предупреждают эксперты.
В понедельник финские исследователи из университета Оулу объявили о том, что они обнаружили уязвимость в протоколе Internet Security Association and Key Management Protocol, или ISAKMP. Данная технология применяется в виртуальных частных сетях IPsec и межсетевых экранах многих сетевых компаний, включая Cisco Systems и Juniper Networks.
Согласно рекомендациям, опубликованным совместно Британским национальным центром координации безопасности инфраструктуры и финским CERT, степень опасности зависит от поставщика ПО.
«Эти ошибки могут создать условия для атак на отказ в обслуживании, а также для атак с использованием уязвимостей форматирующей строки и переполнения буфера», — говорится в рекомендациях. Все это грозит выходом из строя устройств и замедлением передачи данных через интернет. В некоторых случаях хакеры могут исполнять собственный код и перехватывать управление устройством, предупреждает NISCC.
ISAKMP, с которым связаны другие протоколы безопасности, используется для образования безопасных каналов в общедоступном интернете. Это важная часть спецификации IPsec, которая применяется для шифрования пакетов и создания безопасных тоннелей для передачи трафика корпоративных сетей по открытому интернету. Крупные компании с мелкими филиалами используют IPsec для безопасной связи между этими филиалами и штаб-квартирой. Удаленные работники также пользуются данной технологией для доступа во внутренние сети своих компаний.
Cisco и Juniper, два крупнейших поставщика сетевой технологии, признали, что некоторые их продукты подвержены риску.
Cisco сказала, что ошибка может привести к тому, что устройства будут перезагружаться вновь и вновь, а это может вызвать временный отказ в обслуживании. Компания не упоминала о возможности постороннего вторжения в устройство.
Cisco предложила бесплатные обновления для исправления проблемы и опубликовала предупреждение об опасности. В перечень продуктов Cisco, на которые влияет данная ошибка, входят Cisco IOS, Cisco PIX Firewall, Cisco Firewall Services Module, Cisco VPN 3000 Series Concentrators и Cisco MDS Series SanOS.
В список подвергаемых опасности продуктов Juniper вошли все маршрутизаторы M-series, T-series, J-series и E-series компании, а также большинство версий ПО безопасности Junos и JunoSe. Представитель Juniper сообщил, что компании известно о проблеме с июня, и начиная с 28 июля она выпускает ПО, в котором эта ошибка исправлена.
Ошибка влияет и на программное обеспечение IPsec Openswan Project, используемое во многих Linux-продуктах. Стоящая за ним организация выпустила исправленную версию Openswan 2.4.2. Обновление можно загрузить с веб-сайта проекта.
Поставщик сетевого оборудования 3Com сообщил, что компания изучает этот вопрос, а IBM и Microsoft заявили, что их продукты вне опасности. Полный перечень компаний, откликнувшихся на предупреждение, приведен на веб-сайте NISCC.
| Wintermute - devnul.ru 15 Nov 2005 11:13 AM |
ХА... ХА... ХА... Дыра в CISCO, ошизе-еть! |
|
| M&M's 15 Nov 2005 12:52 PM |
> Поставщик сетевого оборудования 3Com сообщил, что компания изучает этот вопрос, а IBM и Microsoft заявили, что их продукты вне опасности. Ржунимагу
|
|
| Wintermute - devnul.ru 15 Nov 2005 2:42 PM |
2 M&M's: MS не использует ISAKMP, так что нефиг ржать. От себя добавлю, что MS VPN ставится и настраивается минуты за 2, установка Cisco VPN занимает пол-часа, правильная настройка - столько же. Cisco VPN (был) более безопасным, но при его использовании наблюдаются презабавнейшие "побочные эффекты" :) |
|
| M&M's 15 Nov 2005 4:53 PM |
2 Wintermute: ну в этот раз МСу повезло, в отличии от Линуха ;-) |
|
|