Debian セキュリティ勧告

DSA-2893-1 openswan -- セキュリティ更新

報告日時:
2014-03-31
影響を受けるパッケージ:
openswan
危険性:
あり
参考セキュリティデータベース:
Mitre の CVE 辞書: CVE-2013-2053, CVE-2013-6466.
詳細:

Openswan、Linux 用の IKE/IPsec 実装の脆弱性が2件、修正されています。

  • CVE-2013-2053

    (Openswan とコードをいくらか共有している) Libreswan の監査で Florian Weimer さんが atodn() 関数にリモートのバッファオーバーフローを発見しました。 この脆弱性は日和見暗号化 (OE、Opportunistic Encryption) が有効になっていて攻撃者がピアのIPアドレスの PTRレコードを制御している場合に発生します。 この脆弱性を引き起こすのに認証は必要ありません。

  • CVE-2013-6466

    Iustina Melinte さんが Libreswan で発見した脆弱性は Openswan のコードにも適用されます。巧妙に細工した IKEv2 パケットにより攻撃者は pluto デーモンに受け取っていない IKEv2 ペイロードを参照させることが可能で、デーモンのクラッシュにつながります。 この脆弱性を引き起こすのに認証は必要ありません。

パッチは元々 Libreswan の脆弱性を修正するために書かれ、Libreswan プロジェクトの Paul Wouters さんにより Openswan に移植されました。

Openswan パッケージは Debian ディストリビューションではもう保守されておらず、テスト版 (testing) ディストリビューション (jessie) や不安定版 (unstable) ディストリビューション (sid) では利用できなくなっているため、IKE/IPsec ユーザには strongSwan のようにサポートされている実装に切り替えることを勧めます。

旧安定版 (oldstable) ディストリビューション (squeeze) では、この問題はバージョン 2.6.28+dfsg-5+squeeze2 で修正されています。

安定版 (stable) ディストリビューション (wheezy) では、この問題はバージョン 2.6.37-3.1 で修正されています。

直ちに openswan パッケージをアップグレードすることを勧めます。