Bulletin d'alerte Debian

DSA-2893-1 openswan -- Mise à jour de sécurité

Date du rapport :
31 mars 2014
Paquets concernés :
openswan
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2013-2053, CVE-2013-6466.
Plus de précisions :

Deux vulnérabilités ont été corrigées dans Openswan, une implémentation d'IKE/IPsec pour Linux.

  • CVE-2013-2053

    Pendant un audit de Libreswan (avec lequel Openswan partage une partie de son code), Florian Weimer a découvert un dépassement de tampon distant dans la fonction atodn(). Cette vulnérabilité peut être déclenchée quand Opportunistic Encryption (OE) est activé et qu'un attaquant contrôle l'enregistrement de résolution inverse (PTR) de l'adresse IP du pair. Aucune authentification n'est nécessaire pour déclencher la vulnérabilité.

  • CVE-2013-6466

    Iustina Melinte a découvert une vulnérabilité dans Libreswan qui s'applique aussi au code d'Openswan. En contrefaisant habilement des paquets IKEv2, un attaquant peut faire en sorte que le démon pluto déréférence la charge utile de paquets IKEv2 non-reçus, conduisant au plantage du démon. Aucune authentification n'est nécessaire pour déclencher la vulnérabilité.

À l'origine, des correctifs ont été écrits pour corriger ces vulnérabilités dans Libreswan, puis ils ont été portés sous Openswan par Paul Wouters du projet Libreswan.

Comme le paquet Openswan n'est plus maintenu dans la distribution Debian et n'est plus disponible dans les versions testing et unstable, il est recommandé aux utilisateurs d'IKE/IPsec de passer à une implémentation prise en charge telle que strongSwan.

Pour la distribution oldstable (Squeeze), ces problèmes ont été corrigés dans la version 2.6.28+dfsg-5+squeeze2.

Pour la distribution stable (Wheezy), ces problèmes ont été corrigés dans la version 2.6.37-3.1.

Nous vous recommandons de mettre à jour vos paquets openswan.