Sicherheitsspezialisten haben einen ernsthaften Fehler in VPN- und Firewall-Produkten von Symantec entdeckt. Wie der Hersteller auf seiner Web-Seite warnt, könnten Angreifer die Schwachstelle ausnutzen, um verwundbare Systeme zu übernehmen und so Zugang zu Unternehmensnetzen zu bekommen. Betroffen sind folgende Produkte:

- "Enterprise Firewall 8.0" für Windows und Solaris;

- "Enterprise Firewall 7.0.x" für Windows und Solaris;

- "Velociraptor 1.5";

- "Gateway Security 1.0" (5300er Reihe) und

- "Gateway Security 2.0" (5400er Reihe).

Daneben sollen nach Angaben der Experten von Internet Security Systems (ISS), denen das Problem aufgefallen war, alle VPN- oder Firewall-Lösungen verwundbar sein, die die Komponente "LibKmp" des Anbieters Entrust enthalten.

Dieses Modul ist die Ursache der Schwachstelle. Es wird verwendet, um mit Hilfe des Internet Security Association and Key Management Protocol (ISAKMP) dynamische VPN-Tunnel aufzubauen. Ein Fehler in der dafür benötigten Softwarebibliothek ermöglicht es, einen Buffer Overflow zu erzeugen, durch den ein Hacker entweder die betroffene Maschine lahmlegen oder aber schädlichen Code ausführen lassen könnte.

Obwohl der ISAKMP-Dämon standardmäßig auf den verwundbaren Symantec-Produkten läuft, lässt sich die Schwachstelle nur ausnutzen, wenn dynamische Verschlüsselungstunnel definiert sind. Gateways, die ausschließlich mit statischen Verbindungen arbeiten oder nicht als VPN-Server konfiguriert sind, können nicht angegriffen werden.

Symantec hat eigenen Angaben zufolge gemeinsam mit Entrust nach einer Lösung für das Problem gesucht und inzwischen Hotfixes entwickelt, die das Problem beseitigen. Sie sind über die Enterprise-Support-Site des Anbieters erhältlich und sollten umgehend aufgespielt werden. (ave)