Säkerhetsinformation / 2013 / Säkerhetsinformation -- DSA-2665-1 strongswan

Säkerhetsbulletin från Debian

DSA-2665-1 strongswan -- möjlighet att kringgå autentisering

Rapporterat den:

2013-04-30

Berörda paket:

strongswan

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Mitres CVE-förteckning: CVE-2013-2944.

Ytterligare information:

Kevin Wojtysiak upptäckte en sårbarhet i strongSwan, en IPsec-baserad VPN-lösning.

Vid användning av insticksmodulen OpenSSL för ECDSA-baserad autentisering, så hanteras en tom, nollställd eller annars ogiltig signatur som en giltig. En angripare kunde använda en förfalskad signatur för att autentisera som en legitimerad användare och få tillgång till VPNen (och allt som skyddas av detta.)

Problemet ser ut som CVE-2012-2388 (möjlighet att RSA-signaturbaserat kringgå autentisering), men är orelaterat.

För den stabila utgåvan (Squeeze) har detta problem rättats i version 4.4.1-5.3.

För uttestningsutgåvan (Wheezy) har detta problem rättats i version 4.5.2-1.5+deb7u1.

För den instabila utgåvan (Sid) har detta problem rättats i version 4.6.4-7.

Vi rekommenderar att ni uppgraderar era strongswan-paket.