Der Hersteller Cisco beschreibt eine soeben bekannt gemachte Schwachstelle in bestimmten Cisco-Geräten als eine Verwundbarkeit wegen "unsauberem Block-Cipher-Padding bei TLSv1 mit CBC" – technisch korrekt aber nicht ganz trivial. In einfachen Worten bedeutet dies, dass die betroffenen Geräte anfällig für Poodle-Angriffe sind, sogar wenn das veraltete SSLv3 abgeschaltet ist, weil sie den gleichen Fehler wie schon die Load Balancer der Firmen F5 und A10 Networks machen.

Bei der sogenannten Block-Verschlüsselung müssen die Daten, die verschlüsselt werden sollen, immer zu Blocks bestimmter Länge aufgefüllt werden. TLS (Transport Layer Security) schreibt genau vor, wie dies erfolgen soll und der Empfänger dieser Blöcke muss das überprüfen. Ähnlich wie auch die Load Balancer von F5 und A10 führen die betroffenen Cisco-Geräte genau diese Checks nicht durch. Ohne die Prüfung könnte ein Angreifer als Man-in-the-Middle das sogenannte Padding (= Fülldaten) mit beliebigen Daten auffüllen und so durch Ausprobieren die Nutzer-Daten am Anfang des Blocks erraten.

Laut der Cisco Sicherheitsnotiz zur SSL-TLS Implementations Cipher Block Chaining Padding Information Disclosure Vulnerability sind das Application Control Engine Moudle (ACE) und die Cisco Adaptive Security Appliance Software (ASA) betroffen. ACE ist die Load-Balancing-Erweiterung auf Cisco-Switches und -Routern und ASA ist Ciscos Firewall- und Netzwerksicherheits-Plattform.

Im Cisco-Advisory bestätigt der Schwachstellen-Bezeichner CVE-2014-8730, dass es sich um die bekannte Poodle-Lücke handelt.

(nd, hannover)

(siehe auch heise-News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE