computerwoche.de

Archiv

Hersteller hält kostenlosen Bug-Fix bereit

Fehler in der VPN-Option von Ciscos Firewall

19.06.1998

Eine unabhängige Sicherheitsfirma in den USA hatte den Fehler entdeckt. Der Bug wurde in der Software des PIX Private Link gefunden; dies ist eine optionale Einsteckkarte für die Firewall zum Einrichten von Virtual Private Networks (VPN).

Das Modul verschlüsselt Daten normalerweise mit 56 Bit nach dem Algorithmus Data Encryption Standard (DES). Auf diese Weise werden sensible Informationen durch einen sicheren Tunnel über das Internet zum Zielsystem transportiert. Wegen des Fehlers kann es passieren, daß diese ohnehin nicht überragend sichere Krypto-Funktion lediglich mit 48 Bit verschlüsselt. Zu dem Störfall kommt es, weil die Software die Kommandos in der Konfigurationsdatei falsch interpretiert. Hacker können sich so viel schneller der kodierten Informationen ermächtigen. Bei einer Verringerung von 56 auf 48 Bit kann die chiffrierte Information 256mal entschlüsselt werden.

Erst ab einer Schlüssellänge von 128 Bit können IT-Manager ohne Sicherheitsbedenken auch sensible Daten über das Internet schicken. Allerdings untersagen es die Exportrestriktionen der USA auf Kryptoprodukte, die Funktion von DES voll auszunutzen. Deshalb darf Cisco wie viele andere Anbieter auch lediglich Produkte mit 56 Bit langen Schlüsseln ausführen.

Betroffen von diesem Bug ist die Software aller Private Link Module bis einschließlich der Version 4.1.6. Jeder Cisco-Kunde kann sich laut Hersteller an das Technical Assistance Center (TAC) wenden und erhält dort einen Bug-Fix. Bis zum Redaktionsschluß konnte Cisco nicht mitteilen, ob auch für die Version 4.1 eine entsprechende Fehlerbereinigung zur Verfügung stehen wird. Weitere Informationen befinden sich unter http://www.cisco.com/warp/ public/770/pixkey-pub.shtml. Cisco in den USA teilte der CW-Schwesterzeitschrift "Computerworld" mit, die Interim-Software sei nicht vollständig ausgetestet worden. Daher könnten darin mehr Fehler versteckt sein als in einem regulären Release. Dies ist normal bei solchen Bug-Fixes.

In der Version 4.2 der Zusatzkarte Private Link ist laut Aussage von Bernd Achatz, Systemingenieur bei Cisco Deutschland, der Fehler bereits behoben. Diese Produktversion wird seit dem 15. Juni ausgeliefert. Nach einer Erhebung des Computer Security Institute und dem Marktforschungsunternehmen Zona Research unter 413 Anwenderunternehmen in den USA gehört diese Firewall zu den mit am meisten eingesetzten Produkten.