Juniper ScreenOS obsahuje backdoor [SSH a VPN]

V průběhu rutinní kontroly zdrojových kódů společnost Juniper Networks zjistila, že verze operačního systému ScreenOS pro platformu Juniper SSG[5 až 550] obsahuje dva backdoory umožňující neautorizovaný ssh přístup a dešifrování VPN provozu. Jedná se o verze ScreenOS 6.2.0r15 až 6.2.0r18 a 6.3.0r12 až 6.3.0r20. Příslušné CVE: CVE-2015-7755, CVE-2015-7756.

Komentáře

Podrobnosti k tomu dešifrování VPN. (TL;DR: až příliš deterministický náhodný generátor DUAL_EC_DRBG)

26.12.2015 08:11 little.owl | skóre: 22 | blog: Messy_Nest | Brighton/Praha
Rozbalit Rozbalit vše Re: Juniper ScreenOS obsahuje backdoor [SSH a VPN]

A navic to vypada jako umele zaneseny backdoor ...

A former Red Hat freeloader.

28.12.2015 11:16 Petr Ježek | skóre: 10
Rozbalit Rozbalit vše Re: Juniper ScreenOS obsahuje backdoor [SSH a VPN]

Ehm, ona jsou i nějaká přirozená zadní vrátka? On je takovýto systém tvořen autogenezně?

Archlinux for your comps, faster running guaranted!

28.12.2015 16:00 Herodes
Rozbalit Rozbalit vše Re: Juniper ScreenOS obsahuje backdoor [SSH a VPN]

Asi bylo myšleno „úmyslně“?

Celkem jednoduchý úkol díky jednoduchému systému a jednoduché kryptografii... Použití takovýchto ementálů rozhodně nemohu doporučit.

Archlinux for your comps, faster running guaranted!

29.12.2015 01:11 mca | skóre: 17 | blog: keep_walking | Lévis, Québec City
Rozbalit Rozbalit vše Re: Juniper ScreenOS obsahuje backdoor [SSH a VPN]

CIPAV friendly a pokud by nebyl, tak by zase bylo nezakonne vyrabet. Ono se to meni, presto zaklad backdoorovat a backdoorovat zustava zacina uz na pasech.

"Hloupe dotazy posiluji kolektiv... ostatnim v tu chvili stoupne sebevedomi"