Debians sikkerhedsbulletin

DSA-2665-1 strongswan -- autentifikationsomgåelse

Rapporteret den:
30. apr 2013
Berørte pakker:
strongswan
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Mitres CVE-ordbog: CVE-2013-2944.
Yderligere oplysninger:

Kevin Wojtysiak opdagede en sårbarhed i strongSwan, en IPsec-baseret VPN-løsning.

Ved anvendelse af en OpenSSL-plugin'en til ECDSA-baseret autentifikation, blev en tom, nulstillet eller på anden måde ugyldig signatur håndteret som en legitim. En angriber kunne anvende en forfalsket signatur til autentificere sig som en legitim bruger og dermed opnå adgang til VPN'en (og alt der er beskyttet af denne).

Mens problemet ligner CVE-2012-2388 (omgåelse af RSA-baserede signaturer), er det ikke beslægtet.

I den stabile distribution (squeeze), er dette problem rettet i version 4.4.1-5.3.

I distributionen testing (wheezy), er dette problem rettet i version 4.5.2-1.5+deb7u1.

I den ustabile distribution (sid), er dette problem rettet i version 4.6.4-7.

Vi anbefaler at du opgraderer dine strongswan-pakker.