Secgo Software Oy TITLE: Description of defect CIP517. Ongelman CIP517 kuvaus. (Vulnerabilities in IKEv1 implementation, CERT-FI: 7710) SECURITY CLASS: CONFIDENTIAL --------------------------------------------------------------------------- Introduction ============= CERT-FI has found problems in multiple IKEv1 implementations. These issues affect certain versions of Secgo Crypto IP gateway and client products and are partly caused by defects in a third party toolkit code that Secgo is using. Secgo has given ID CIP517 to this issue. This document briefly describes defect CIP517 and its consequences on Secgo Crypto IP products' security. To understand the description you should have basic knowledge of IKE protocol. Affected products ================= The following Crypto IP gateway and client versions are vulnerable: Crypto IP gateway/client 2.3 Crypto IP gateway/client 3.0.0 to 3.0.82 Crypto IP client 3.1 Crypto IP gateway/client 3.2.0 to 3.2.26 Upgrading ========= Secgo recommends that you upgrade your Crypto IP software as soon as possible if you have one of the vulnerable versions. It is strongly recommended to upgrade the software to version 3.4. In case you have some special reason to use older software versions, Crypto IP 3.0.84 and 3.2.28 are not vulnerable to the problem and can be safely used. Technical description of the problem CIP517 =========================================== The IKE library was not performing sufficiently rigorous checks on the validity of IKE packets received from the network. This allowed the possibility of certain specially crafted packets to make the software crash. In certain cases, a buffer overflow situation resulted, which means that the supposed attacker might be able to run arbitrary commands on the host. Out of this reason, it is very important to upgrade the software. Additional information ====================== For more information on the issue: CERT-FI (in Finnish) http://www.ficora.fi/suomi/tietoturva/cert.htm NISSCC http://www.niscc.gov.uk/niscc/index-en.html Johdanto ======== CERT-FI on löytänyt ongelmia useiden eri valmistajien IKEv1-toteutuksista. Myös Secgo Crypto IP gateway ja client -tuotteista on löytynyt haavoittuvuuksia, jotka johtuvat osin käytetystä kolmannen osapuolen koodirungosta. Secgo on antanut ongelmalle sisäisesti tunnuksen CIP517. Tämä dokumentti kuvaa lyhyesti tämän ongelman ja sen aiheuttamat vaikutukset Secgo Crypto IP -tuotteiden turvallisuuteen. Ongelman kuvauksen ymmärtäminen vaatii perustason ymmärtämisen IKE-protokollasta. Tuotteet joihin ongelma vaikuttaa ================================= Secgo Crypto IP gateway ja client versiot, jotka ovat haavoittuvia: Crypto IP gateway/client 2.3 Crypto IP gateway/client 3.0.0 - 3.0.82 Crypto IP client 3.1 Crypto IP gateway/client 3.2.0 - 3.2.26 Tuotteiden päivittäminen ======================== Secgo kehottaa päivittämään haavoittuvuudelle alttiit tuoteversiot välittömästi. On erittäin suositeltavaa päivittää versioon 3.4. Jos on jokin erityinen syy olla käyttämättä tuotteen uusinta versiota, Crypto IP 3.0.84 ja 3.2.28 eivät ole haavoittuvaisia, ja niitä voi käyttää turvallisesti. Ongelman CIP517 tekninen kuvaus =============================== IKE-ohjelmistokirjasto jätti tekemättä verkosta saapuville IKE-paketeille eräitä tarpeellisia tarkistuksia. Tämä mahdollisti sen, että tietyllä tavalla muokatut paketit saattoivat kaataa ongelmiston. Joissain tapauksissa myös puskuriylivuototilanne oli mahdollinen, mikä tarkoittaa, että mahdollinen hyökkääjä voi päästä ajamaan haluamiaan komentoja ongelmalle alttiissa palvelimessa tai työasemassa. Tästä syystä on erittäin tärkeää päivittää ohjelmisto. Lisätietoa ========== Lisätietoja aiheesta: CERT-FI http://www.ficora.fi/suomi/tietoturva/cert.htm NISSCC (englanniksi) http://www.niscc.gov.uk/niscc/index-en.html