Debians sikkerhedsbulletin

DSA-2893-1 openswan -- sikkerhedsopdatering

Rapporteret den:
31. mar 2014
Berørte pakker:
openswan
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Mitres CVE-ordbog: CVE-2013-2053, CVE-2013-6466.
Yderligere oplysninger:

To sårbarheder blev rettet i Openswan, en implementering af IKE/IPsec til Linux.

  • CVE-2013-2053

    Under en audit af Libreswan (som Openswan der noget kode med), fandt Florian Weimer et fjernudførbart bufferoverløb i funktionen atodn(). Sårbarheden kan udløses når Opportunistic Encryption (OE) er aktiveret og en angriber kontrollerer PTR-registreringen af en peer-IP-adresse. Autentifikation er ikke nødvendig for at udløse sårbarheden.

  • CVE-2013-6466

    Iustina Melinte fandt en sårbarhed i Libreswan, hvilket også gælder Openswan-koden. Ved omhyggeligt at fremstille IKEv2-pakker, kunne en angriber få pluto-dæmonen til at dereferere ikke-modtaget IKEv2-payload, førende til at dæmonen gik ned. Autentifikation er ikke nødvendig for at udløse sårbarheden.

Rettelser blev oprindelig skrevet til sårbarhederne i Libreswan, og de er blevet tilpasset Openswan af Paul Wouters fra Libreswan-projektet.

Da Openswan-pakken ikke længere vedligeholdes i Debian-distributionen, og ikke er tilgængelig i hverken testing eller unstable, anbefales brugere af IKE/IPsec at skifte til en understøttet implementering, så som strongSwan.

I den gamle stabile distribution (squeeze), er disse problemer rettet i version 2.6.28+dfsg-5+squeeze2.

I den stabile distribution (wheezy), er disse problemer rettet i version 2.6.37-3.1.

Vi anbefaler at du opgraderer dine openswan-pakker.