> Zpět  


Zamezení zneužití zranitelnosti ISAKMP v produktech Check Point VPN-1


stručný popis:

Check Point VPN-1 produkty jsou náchylné k vzdálenému buffer overflow
útoku.

bližší detaily:

VPN-1 jsou produkty společnosti Check Point Software Technologies
poskytující funkčnost VPN (virtuálních privátních sítí) a firewallů.

Společnost Check Point Software Technologies vydala oznámení o výskytu
bezpečnostní chyby týkající se jejích produktů využívajících technologie
IPSEC. Jedná se o buffer overflow zranitelnost v implementaci ISAKMP
(protokol pro výměnu klíčů IPSEC VPN). Útočník může v okamžiku
vyjednávání atributů VPN tunelu zasláním vhodně konstruvaného paketu na
VPN bránu provést výkon kódu a potenciálně spustit vlastní kód s právy
napadeného systému. Pokud útočník získá přístup k takto zranitelným
systémům, jsou možné další útoky proti vnitřním sítím. Opravy
pro dané produkty jsou dostupné na stránkách výrobce ve formě hotfix
akumulátorů.

V době uvolnění oznámení o chybě nejsou známy žádné exploity, avšak
doporučujeme provést upgrade co nejdříve.


postižené produkty:

Check Point Software FireWall-1 GX 2.0.0
Check Point Software FireWall-1 VSX 2.0.1
Check Point Software FireWall-1 VSX NG with Application Intelligence
Check Point Software Next Generation  FP3
Check Point Software Next Generation  FP3 HF1
Check Point Software Next Generation  FP3 HF2
Check Point Software NG-AI  R54
Check Point Software NG-AI  R55
Check Point Software SecureClient NG with Application Intelligence  R56
Check Point Software SecuRemote NG with Application Intelligence  R56
Check Point Software VPN-1 VSX 2.0.1
Check Point Software VPN-1 VSX NG with Application Intelligence


dočasné opatření:

Do doby aplikace hotfixu lze zakázat přístup protokolem IKE na VPN
bránu, tj. dočasně omezit SecuRemote/SecureClient spojení. Pokud máte
pouze gateway-to-gateway VPN spojení a jasně definována firewallová pravidla
pro IKE protokol (tj. IKE povoleno pouze mezi IP adresami obou bran),
není třeba provádět dočasná opatření. Přesto doporučujeme aplikovat
hotfixy v co nejkratší době.

oznámení společnosti Check Point, včetně odkazů na Hotfixy

-msl-
obrazek