IPsec细微错误恐导致新一轮网络攻击

芬兰的安全研究人员最近发现一个高风险的基于IPsec VPN的安全协议威胁。这个漏洞针对与不同供应商的所体现出的不同症状，一些供应商已经发现并意识到错误的严重性，而另一些的供应商的产品则未受影响。研究人员已经发现的受影响的厂商包括：思科（Cisco Systems）, 3Com, Juniper Networks, Microsoft 以及 IBM都已经有了错误的报道。

　　目前最大的问题就是如何在ISAKMP(Internet Security Association and Key Management Protocol)之下进行多方安全问题的交流。按照CERT-FI 和 the United Kingdom's National Infrastructure Security Coordination Center的定义，ISAKMP是IKE下的衍生产品，为验证数据以及独立于任何编码技术和验证技术的数据的传输。

　　芬兰Oulu大学的专家近期所发现的安全漏洞很可能造成拒绝服务的严重后果，在一些情况下还可能被袭击者利用来发动远程控制代码执行。不过，研究人员指出ISAKMP/IKE的用户应用软件相对于服务应用软件来说，防御性较强，因为用户多会主动地提出安全要求。

　　到目前为止，以下的几个供应商已经进行了如下的报告:

　　3Com表示，他们正在加紧检查其系统的严密性。

　　Cisco也在近期举行的网络安全咨询会上表示当发现潜在的错误数据包时，系统会自动进行处理，不过这可能会造成暂时性的拒绝服务（Denialof Service）

　　Openswan表示，他们会继续检测其IPsec软件，这些软件在Linux distributions中使用广泛，其中包括Red Hat Linux, SuSE/Novell, Debian, Fedora Linux 以及 Mandrake。公司还表示，openswan v-1是安全的，不过openswan v-2对于拒绝服务攻击的抵御能力较差，公司希望用户能够尽快地使用近期发布的针对3DES错误的补丁来更新openswan-2.4.2。

　　Entrust在安全公告也提出了自己看法。

　　不过，在IBM看来，他们并不认为这个错误会影响到其AIX操作系统，同时，他们还强调IPsec应当在IKE模式下使用。

　　Intoto则表示其iGateway VPN已经经过检验，并没有发现问题。

　　Juniper Networks的 M/T/J/E-系列路由器 和 JUNOS Security/JUNOSe 的安全平台，相对来说都存在着安全隐患，解决办法需尽快出台。

　　Microsoft报道并没有发现感染

　　Mitel Corp.表示自己产品中并没有发现此类错误，但是还是要在近期关注一下其6042 Managed VPN产品。

　　Secgo的 Crypt IP gateway因为Secgo使用了三方的toolkit，并没有发现异常。公司建议用户使用Crypto IP Gateway 或者 Client v3.2.26，并及时进行升级。

　　Stonesoft Corp公司也出台了其对客户的建议。

　　StrongSwan是Linux-based IPsec软件的主要提供者，他们也声明自己的产品没有此类安全错误。

　　TeamF1 Inc也对产品的安全性进行了保证。

　　2002芬兰安全研究人员发现了Simple Network Management Protocol (SNMP)中的错误，近期发现的这个错误漏洞与对SNMP.的深入研究有很大的关系。