Open Source im professionellen Einsatz

mbed TLS: Man-in-the-Middle-Attacke gegen TLS-Verbdindungen

Mbed TLS ist eine Programmbibliothek für Transport Layer Security (TLS) mit einem minimalen Funktionsumfang, die aufgrund ihres geringen Resourcen-Verbrauchs vor allem auf eingebetteten Geräten zum Einsatz kommt. Der Speicherverbrauch von nur 64kB ist entsprechend klein und ideal für IoT-Systeme geeignet. Nun wurde eine Sicherheitslücke in der Mbed-TLS-Bibliothek gefunden, der es einem entferntern Angreifer erlaubt Man-in-the-Middle-Attacken auf TLS-Verbindungen durchzuführen.

Anfällig hierfür ist die ARM-Version der Bibliothek. Hier kann der Angreifer bestehende Verbindungen zwischen Geräten übernehmen. Die Schwachstelle tritt beim Verarbeiten sehr langer X.509-Zertifikat-Ketten auf. Dies geschieht, wenn mehr als »MBEDTLS_X509_MAX_INTERMEDIATE_CA« (typischerweise 8) Zwischenstellen verwendet werden. Ist zusätzlich noch die »MBEDTLS_SSL_VERIFY_OPTIONAL«-Option aktiviert, so kann der Angreifer die Zertifikat-Authentifikation umgehen und die Attacke entsprechend durchführen. Diese Option besagt, dass der Authentifikationsmodus auf optional gestellt ist.

Wer kein Sicherhreits-Update der Bibliothek durchführen kann sollte als Workaround die »MBEDTLS_SSL_VERIFY_REQUIRED«-Option aktivieren. Dies stellt den Authentifikationsmodus auf »required«, welches auch die Standardeinstellung ist.

Betroffen sind die Versionen ab 1.3.10 und ab 2.1.

comments powered by Disqus

Ausgabe 10/2017

Digitale Ausgabe: Preis € 6,40
(inkl. 19% MwSt.)

Artikelserien und interessante Workshops aus dem Magazin können Sie hier als Bundle erwerben.