Unternehmensnetzwerkgeräte, die anfällig für Heartbleed sind

14

Am 2014.09.04 die die Heartbleed vulerability wurde vom OpenSSL - Team bekannt .

Der Heartbleed Bug ist eine schwerwiegende Sicherheitslücke in der bekannten OpenSSL-Kryptografiesoftware-Bibliothek. Diese Schwachstelle ermöglicht es, die Informationen zu stehlen, die unter normalen Bedingungen durch die SSL / TLS-Verschlüsselung geschützt sind, die zum Sichern des Internets verwendet wird.

Können wir eine Liste von Netzwerkgeräten für Unternehmen erstellen, die für Heartbleed anfällig sind ?

security radicetrentasei
quelle
1
Natürlich benutzte etwas im riesigen Ozean der eingebetteten Netzwerksysteme verwundbare OpenSL-Bibliotheken. Was ist das Ziel Ihrer Frage? Möchten Sie eine Liste anfälliger Geräte erstellen? Wenn ja, bitte mache dies zu einem Community-Wiki ... unter den meisten Umständen würde ich dies als Umfrage betrachten; Ein Mod auf einer anderen Seite brachte mich jedoch auf die Community-Wiki-Idee für diese Art von unbegrenzten, aber objektiv überprüfbaren Listen ... diese Frage scheint zu passen. Wir können eine Antwort hinzufügen , um alle Geräte aufzulisten. Wenn Ihr Ziel nicht darin besteht, alle anfälligen Geräte aufzulisten, klären Sie bitte Ihre Absicht
Mike Pennington,
1
Wir haben hier auch eine alternative Liste erstellt: docs.google.com/spreadsheets/d/…
Josh Brower

Antworten:

13

Wie bei jeder neuen Sicherheitsanfälligkeit sind die Auswirkungen weitreichend. Infrastrukturgeräte sind nicht anders. Die meisten von ihnen enthalten anfällige OpenSSL-Pakete.

Es ist fast unmöglich, eine Liste aller anfälligen Produkte 1 zu erstellen , da dies alle OpenSSL-Bibliotheken betrifft, die mit der ursprünglichen OpenSSL TLS-Heartbeat-Implementierung erstellt wurden, bis der Heartbleed-Patch für den stabilen OpenSSL-Zweig festgeschrieben wurde . Wir können hier jedoch die Produkte der wichtigsten Anbieter auflisten.


Dies ist ein Community-Wiki.


Aruba

  • ArubaOS 6.3.x, 6.4.x
  • ClearPass 6.1.x, 6.2.x, 6.3.x
  • In früheren Versionen dieser Produkte wurde eine frühere Version von OpenSSL verwendet, die nicht anfällig ist .

Sicherheitslücke in der OpenSSL 1.0.1-Bibliothek (Heartbleed).

Checkpoint-Netzwerke

SK 100173 behauptet, dass Checkpoint-Produkte nicht anfällig sind.

Cisco

Die folgenden Cisco-Produkte sind von dieser Sicherheitsanfälligkeit betroffen:

  • Cisco AnyConnect Secure Mobility Client für iOS [CSCuo17488]
  • Cisco Desktop Collaboration Experience DX650
  • IP-Telefone der Cisco Unified 7800-Serie
  • Cisco Unified 8961 IP-Telefon
  • Cisco Unified 9951 IP-Telefon
  • Cisco Unified 9971 IP-Telefon
  • Cisco IOS XE [CSCuo19730]
  • Cisco Unified Communications Manager (UCM) 10.0
  • Cisco Universal Small Cell 5000 Series mit der Software V3.4.2.x
  • Cisco Universal Small Cell 7000 Series mit der Software V3.4.2.x
  • Small Cell Factory Recovery Root-Dateisystem V2.99.4 oder höher
  • Cisco MS200X Ethernet Access Switch
  • Cisco Mobility Service Engine (MSE)
  • Cisco TelePresence-Videokommunikationsserver (VCS) [CSCuo16472]
  • Cisco TelePresence Conductor
  • Cisco TelePresence Supervisor MSE 8050
  • Cisco TelePresence Server 8710, 7010
  • Cisco TelePresence Server auf Multiparty Media 310, 320
  • Cisco TelePresence Server auf der virtuellen Maschine
  • Cisco TelePresence ISDN Gateway 8321 und 3201 Series
  • Cisco TelePresence Serial Gateway-Serie
  • Cisco TelePresence IP Gateway-Serie
  • Cisco WebEx Meetings Server-Versionen 2.x [CSCuo17528]
  • Cisco Security Manager [CSCuo19265]

Cisco Security Advisory - OpenSSL Heartbeat Extension-Sicherheitslücke in mehreren Cisco-Produkten

D-Link

Bis zum 15. April 2014 hat D-Link keine anfälligen Produkte.

Antwort auf Sicherheitsvorfälle für D-Link-Geräte und -Dienste

Fortigate

  • FortiGate (FortiOS) 5.x
  • FortiAuthenticator 3.x
  • FortiMail 5.x
  • FortiVoice
  • FortiRecorder
  • FortiADC D-Serie Modelle 1500D, 2000D und 4000D
  • FortiADC E-Series 3.x
  • Coyote Point Equalizer GX / LX 10.x.

Sicherheitsanfälligkeit in OpenSSL bezüglich Offenlegung von Informationen

F5

Ab dem 10. April 2014 sind die folgenden F5-Produkte / Releases als anfällig bekannt

  • BigIP LTM-Versionen 11.5.0 - 11.5.1 (Mgmt-Schnittstelle, kompatible SSL-Verschlüsselungen)
  • BigIP AAM-Versionen 11.5.0 - 11.5.1 (Mgmt-Schnittstelle, kompatible SSL-Chiffren)
  • BigIP AFM-Versionen 11.5.0 - 11.5.1 (Mgmt-Schnittstelle, kompatible SSL-Chiffren)
  • BigIP Analytics-Versionen 11.5.0 - 11.5.1 (Mgmt-Schnittstelle, kompatible SSL-Verschlüsselungen)
  • BigIP APM-Versionen 11.5.0 - 11.5.1 (Mgmt-Schnittstelle, kompatible SSL-Chiffren)
  • BigIP ASM-Versionen 11.5.0 - 11.5.1 (Mgmt-Schnittstelle, kompatible SSL-Chiffren)
  • BigIP GTM-Versionen 11.5.0 - 11.5.1 (Mgmt-Schnittstelle, kompatible SSL-Chiffren)
  • BigIP Link Controller Versionen 11.5.0 - 11.5.1 (Mgmt-Schnittstelle, kompatible SSL-Verschlüsselung)
  • BigIP PEM-Versionen 11.5.0 - 11.5.1 (Mgmt-Schnittstelle, kompatible SSL-Chiffren)
  • BigIP PSM-Versionen 11.5.0 - 11.5.1 (Mgmt-Schnittstelle, kompatible SSL-Chiffren)
  • BIG-IP Edge Clients für Apple iOS Versionen 1.0.5, 2.0.0 - 2.0.1 (VPN)
  • BIG-IP-Edge-Clients für Linux-Versionen 6035 - 7101 (VPN)
  • BIG-IP Edge Clients für Mac OSX Versionen 6035 - 7101 (VPN)
  • BIG-IP-Edge-Clients für Windows-Versionen 6035 - 7101 (VPN)

F5 Networks SOL 15159 OpenSSL-Sicherheitsanfälligkeit CVE-2014-0160

HP

Ab dem 10. April

"Wir haben festgestellt, dass die von uns untersuchten Produkte nicht anfällig sind, da entweder eine nicht anfällige OpenSSL-Version verwendet wird oder OpenSSL nicht verwendet wird."

HP Networking Communication: Sicherheitsanfälligkeit in OpenSSL HeartBleed

Huawei

Ab dem 14. April

Die Untersuchung wurde abgeschlossen und es wurde bestätigt, dass einige Huawei-Produkte betroffen sind. Huawei hat einen Fixierungsplan erstellt und mit der Entwicklung und dem Test von Fixversionen begonnen. Huawei wird so schnell wie möglich eine SA veröffentlichen. Bitte bleiben Sie dran.

Security Notice-Statement zur Sicherheitslücke in OpenSSL Heartbeat Extension

Wacholder

Gefährdete Produkte

  • Junos OS 13.3R1
  • Odyssey-Client 5.6r5 und höher
  • SSL VPN (IVEOS) 7.4r1 und höher und SSL VPN (IVEOS) 8.0r1 und höher (Der feste Code ist im Abschnitt "Lösung" aufgeführt.)
  • UAC 4.4r1 und höher sowie UAC 5.0r1 und höher (Der feste Code ist im Abschnitt "Lösung" aufgeführt.)
  • Junos Pulse (Desktop) 5.0r1 und höher sowie Junos Pulse (Desktop) 4.0r5 und höher
  • Network Connect (nur Windows) Version 7.4R5 bis 7.4R9.1 und 8.0R1 bis 8.0R3.1. (Dieser Client ist nur im FIPS-Modus betroffen.)
  • Junos Pulse (Mobile) auf Android-Version 4.2R1 und höher.
  • Junos Pulse (Mobile) unter iOS Version 4.2R1 und höher. (Dieser Client ist nur im FIPS-Modus betroffen.)

Juniper Knowledge Center - Security Bulletin 2014-04: Mehrere Produkte von OpenSSL "Heartbleed" -Problem betroffen (CVE-2014-0160)

Palo Alto Networks

PAN-OS war von Heartbleed nicht betroffen

Problemumgehungen

Deaktivieren Sie Ressourcen, die SSL verwenden, wenn Sie können, und verlassen Sie sich auf SSH, das, wie Mike Pennington kommentierte, nicht anfällig ist.

1 Diese Auflistung wurde am 10. April 2014 erstellt. Möglicherweise werden die Produkte von Anbietern noch untersucht. Diese Auflistung ist keine Richtlinie für Sicherheitslücken und dient nur dazu, dem Originalposter einen Einblick in das Ausmaß der Auswirkungen auf Netzwerkgeräte zu geben.

Ryan Foley
quelle
3
Zu Ihrer Information, OpenSSH ist nicht anfällig für Herzblut . Auch die Angstzahlen vor Herzblut, die 60% des Internets betreffen, sind falsch. Nur OpenSSL-Bibliotheken, die in den letzten zwei Jahren erstellt wurden, sind anfällig (insbesondere solche mit diesem TLS-Heartbeat-Commit ). Diese Zahl liegt weit unter 60% des Internets.
Mike Pennington
Bearbeitet, um diese Informationen widerzuspiegeln. Danke für die Warnung. Ich bin davon ausgegangen, dass es sich bei den Informationen nur um Klick-Köder handelt. Das werde ich auch entfernen.
Ryan Foley
Wissen Sie zufällig, welche Version von Cisco IOS XE betroffen ist?
@Phil Wenn Sie dem Link zur Cisco-Seite folgen, wird ein Verweis auf den Fehler mit detaillierten Informationen angezeigt.
Radtrentasei