Som du ser är vår webbplats inte anpassad för äldre webbläsare. Vi rekommenderar att du uppgraderar till en nyare webbläsare.
!!

Vi söker en systemadministratör inom Linux-klientinfrastruktur och it-säkerhet till CERT-SE, en central roll i arbetet med att utveckla Sveriges förmåga att förebygga och hantera it-incidenter. Sista ansökningsdag är den 15 augusti.

Uppdaterad | Publicerad - Sårbarhet

SR03-056 Sårbarheter i implementationen av IKE hos flertalet leverantörer.

Publicerad: 031216

Problembeskrivning:

Thor Lancelot Simon har upptäckt två sårbarheter i standard implementationen av IKE hos flertalet leverantörer.

CVE-referens:(saknas)
1.IKE protokollets authenticering av klient/server certifikat hanteras osäkert. Drabbade versioner authenticerar endast certifikatutfärdaren men inte certifikatägaren. Detta kan utnyttjas effektivt genom att skicka ett specialformaterat certifikat med en tillförlitlig certifkatutfärdare (CA) till en server, vilket ger en angripare möjlighet att utföra en så kallad "man-in-the-middle" attack.

CVE-referens: -
2.IKE protokollet implementerat med XAUTH-modulen har visat sig sårbart på grund av svagheter i XAUTH. Servern behöver inte authenticeras mot klienten i en XAUTH-baserad förhandling baserad på en så kallad preshared secret". Detta kan utnyttjas av en angripare för att skaffa känslig information samt komma över lösenordet för "preshred secret" om detta inte är tillräckligt starkt.

Påverkade versioner:

Följande produkter har flertalet sårbara versioner, se vidare under: Mer information

Uppdatering:
Bevaka leverantörers hemsidor för uppdateringar.

Motverkan:
Saknas, bevaka leverantörers hemsidor för uppdateringar.

Mer information:
http://www.securityfocus.com/archive/1/347351
http://www.securityfocus.com/bid/9208/
http://www.securityfocus.com/bid/9209/

Versionshistorik:
031216: Särskilt råd skapat.