Liebe Kolleginnen und Kollegen,
bitte beachten Sie die folgende Sicherheitsmeldung.
Betroffene Software:
F5 Networks BIG-IP Protocol Security Module (PSM) >= 11.4.0
F5 Networks BIG-IP Protocol Security Module (PSM) <= 11.4.1
Betroffene Plattformen:
F5 Networks BIG-IP Systeme
Ein entfernter, einfach authentifizierter Angreifer kann durch
Wiederaufnahme einer SSL-Verbindung zu einer betroffenen F5 BIG-IP-Appliance
Informationen ausspähen, da der Server abhängig von der Größe des gesendeten
Sitzungsidentifizierers (Session ID) als Antwort bis zu 31 Bytes aus nicht
initialisiertem Speicher zurücksendet. Der Angreifer kann dadurch die
Sitzungsidentifizierer anderer Sitzungen (SSL Session IDs) und
möglicherweise weitere sensitive Daten ausspähen. Die Schwachstelle ist
unter dem Namen 'Ticketbleed' bekannt.
F5 Networks informiert über die Schwachstelle und darüber, welche Produkte
und Produktversionen von dieser betroffen sind. Unter anderem ist das BIG-IP
Protocol Security Module (PSM) in den Versionen 11.4.0 - 11.4.1 von der
Schwachstelle betroffen. Als verwundbare Komponente ist der 'BIG-IP Virtual
Server' angegeben, der mit dem SSL-Profil des Klienten assoziiert wird, das
die Sitzungsticket-Option aktiviert hat.
Für einige Produkte existieren nicht verwundbare Produktversionen; für
BIG-IP PSM steht noch kein Sicherheitsupdate zur Verfügung. Zur Umgehung der
Schwachstelle kann die Sitzungsticketfunktion deaktiviert werden. Dazu
stellt F5 Networks eine Anleitung zur Verfügung. Diese Anleitung ist auch
auf der Webseite zur Schwachstelle vorhanden, die der Entdecker eingerichtet
hat. Dort findet sich neben einem Onlinetest, mit dem Server durch Preisgabe
des Hostnames getestet werden können, auch ein Go-Skript, mit dem der Test
selbst durchgeführt werden kann. Die Deaktivierung der
Sitzungsticketfunktion kann zu geringen Leistungseinbußen führen.
Workaround:
Zur Umgehung der Schwachstelle kann die Sitzungsticketfunktion deaktiviert
werden. Dazu stellt F5 Networks eine Anleitung zur Verfügung. Diese
Anleitung ist auch auf der Webseite zur Schwachstelle vorhanden, die der
Entdecker eingerichtet hat. Die Deaktivierung der Sitzungsticketfunktion
kann zu geringen Leistungseinbußen führen.
Patch:
F5 Networks Security Advisory K05121675: F5 TLS vulnerability CVE-2016-9244
https://support.f5.com/csp/article/K05121675
CVE-2016-9244: Schwachstelle in BIG-IP Appliances ermöglicht Ausspähen von
Informationen
Sitzungstickets (Session Tickets) werden im TLS/SSL-Stack verschiedener
Appliances von F5 Networks, welche unter dem Namen BIG-IP vertrieben werden,
zur Beschleunigung von wiederholten Verbindungen verwendet. Ein Server, der
in diesem Kontext von einem Klienten ein Sitzungsticket zusammen mit einem
Sitzungsidentifizierer (Session ID) erhält, liefert diesen an den Klienten
zur Bestätigung der Annahme des Tickets zurück. Sitzungsidentifizierer
können eine Länge von 1 bis 31 Bytes haben, die Antwort des Servers liefert
aber in jedem Fall 32 Bytes zurück.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-0240/
F5 Networks Security Advisory K05121675: F5 TLS vulnerability CVE-2016-9244:
https://support.f5.com/csp/article/K05121675
Filippo.io Blog: Ticketbleed (CVE-2016-9244) – Webseite zur Schwachstelle:
https://filippo.io/Ticketbleed/
Go-Skript zur Prüfung betroffener Server:
https://gist.github.com/FiloSottile/fc7822b1f5b475a25e58d77d1b394860
Schwachstelle CVE-2016-9244 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-9244
(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.
