Mehrere Sicherheitslücken hat der Firewall-Hersteller Fortinet in seinem Appliance-Betriebssystem FortiOS geschlossen. Das Sicherheitsupdate behebt neben einer Lücke, über die Angreifer Geräte per Cross-Site-Scripting (XSS) angreifen können, auch ein Problem mit SSL/TLS-Verbindungen, über die Angreifer beliebige Daten in eine solche Verbindung einschleusen können, ohne den eigentlichen Inhalt zu entschlüsseln.

Unter dem Namen Project Mogul und der CVE-Identifikationsnummer CVE-2009-3555 ist diese Sicherheitslücke in TLS seit mindestens acht Jahren bekannt.

Da die Fortinet-Entwickler anscheinend Fehler bei der SSL-Deep-Inspection-Funktion des Betriebssystems gemacht haben, ist FortiOS betroffen. Diese Funktion dient zum Aufbrechen von SSL/TLS-Verbindungen, um Angriffe auf die Systeme hinter der Firewall aufzuspüren. Diese Schwachstelle ist in FortiOS 5.6.0, 5.4.0 bis 5.4.5 und alle Versionen bis 5.2 enthalten. Administratoren sollten laut dem Hersteller die betroffenen Systeme auf FortiOS 5.4.6 oder 5.6.1 aktualisieren.

FortiOS 5.6.0, 5.4.0 bis 5.4.5 und 5.2.0 bis 5.2.11 sind von der XSS-Lücke betroffen. Der Hersteller empfiehlt hier ein Update auf FortiOS 5.2.12, 5.4.6 oder 5.6.1.

(ts, hannover)

(siehe auch Heise News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE