DoS-Schwachstellen in Openswan und strongSwan beseitigt

Die Entwickler der Linux-IPSec-Implementierung Openswan haben neue Versionen und Patches veröffentlicht, um eine DoS-Schwachstelle im Schlüsselaustausch-Daemon Pluto (IKEv1) zu beseitigen. Laut Bericht kann Pluto beim Empfang fehlerhafter Dead-Peer-Detection-Pakete (DPD) abstürzen und neu starten – in der Praxis kann dies zu Beeinträchtigungen bestehender VPN-Verbindungen kommen. Im Wiederholungsfalle kann die Kommunikation auch zum Erliegen kommen.

Mit DPD-Nachrichten versuchen die VPN-Gateways festzustellen, ob das andere Gateway noch erreichbar ist und löschen sonst gegegebenenfalls die ausgehandelten Sicherheitsrichtlinien, um den Aufbau einer neuen Verbindung zu ermöglichen.

Laut Bericht tritt der Fehler unter anderem auf, wenn auf einer VPN-Seite die ausgehandelte Richtlinie (ISAKMP State) bereits gelöscht oder abgelaufen ist, während die andere Seite darauf aufbauend noch DPD-Nachrichten sendet. In der Folge verursacht Pluto eine Null-Pointer-Dereferenzierung. Der Fehler ist auch in strongSwan und SuperFreesSwan zu finden. Für einen erfolgreichen Angriff ist keine Authentifizierung oder Verschlüsselung notwendig, es genügt ein einziges (gespooftes) UDP-Paket, um den Absturz zu provozieren.

Betroffen sind Openswan-2.6.20 und vorhergehende, Strongswan-4.2.13 und vorhergehende, Openswan-2.4.13 und vorhergehende, Strongswan-2.8.8 und vorhergehende sowie die ohnehin nicht mehr unterstützen Versionen Superfreeswan-1.9x, Openswan-1.x, Openswan-2.0.x - 2.3.1 und Openswan-2.5.x. Die Fehler sind in Openswan-2.6.21, Openswan-24.14, strongSwan-4.2.14 sowie strongSwan-2.8.9 behoben.

Siehe dazu auch

• Remote DoS Vulnerability in Openswan & Strongswan IPsec, Bericht von openswan
• Changelog strongswan-4.2.14, Beschreibung von strongSwan
• VPN-Knigge - VPN-Protokolle und Standards, Hintergrundartikel auf heise Security
• Leichter tunneln - IPSec-VPNs werden einfacher und flexibler dank IKEv2, Hintergrundartikel auf heise Security

(dab)