Cisco bestätigt Lücke in OpenSSL

EnterpriseSicherheit

Der Netzwerkkonzern Cisco Systems hat jetzt bestätigt, dass er eine fehlerhafte Version von OpenSSL benutzt hatte.

Dadurch seien eine ganze Reihe von Produkten fehlerhaft. Die Open-Source-Lösung wird verwendet, um verschiedene Netzbauteile mit Secure Socket Layer (SSL), einer Verschlüsselungstechnik, oder mit Transport Layer Security (TLS) auszurüsten.

Wie Cisco mitteilte, sind definitiv folgende Produkte von der Lücke betroffen: ‘IPS’, ‘Secure ACS’, ‘Security Agent’, ‘MARS’, ‘Unified Presence Server’, der Cisco-eigene ‘SIP Proxy Server’, der ‘Wireless LAN Controller’ sowie weitere Produkte. Angreifer könnten über die Lücke Zugang zum Netzwerk erhalten und je nach Funktionsweise der Produkte über Teile des Netzwerks verfügen, um schadhaften Code auszuführen, Sicherheitssignaturen zu manipulieren, Buffer Overflows zu starten oder Informationen anzugreifen.

Durch die Vielzahl der betroffenen Produkte bestehe laut einer Mitteilung des Konzerns an die Kunden die Gefahr, dass ein einzelnes Gerät, ein PC beispielsweise mehrere Produkte mit der Lücke integriert oder angebunden hat. Das potenziere die Gefahr. Angreifer könnten mit einem solchen Gerät auch Netzkomponenten infiltrieren, die nicht mit dem fehlerhaften OpenSSL-Code ausgestattet sind. Cisco arbeitet derzeit an Patches. Einstweilen sollen die Kunden die betroffenen Geräte mithilfe des Herstellers identifizieren und blocken. Die weite Verbreitung des Open-Source-Programms, dessen Mängel seit September bekannt sind, geht auch die Kunden von Avaya, Sun Microsystems, Secure Computing und Red Hat an – auch sie können möglicherweise von der Lücke betroffen sein.