Säkerhetsbulletin från Debian

DSA-2893-1 openswan -- säkerhetsuppdatering

Rapporterat den:
2014-03-31
Berörda paket:
openswan
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Mitres CVE-förteckning: CVE-2013-2053, CVE-2013-6466.
Ytterligare information:

Två sårbarheter har rättats i Openswan, en IKE/IPsec-implementation för Linux.

  • CVE-2013-2053

    Under en granskning av Libreswan (med vilken Openswan delar en del kod), upptäckte Florian Weimer ett fjärrbuffertspill i funktionen atodn(). Den sårbarhet kan triggas när Opportunistic Encryption (OE) är aktiverat och en angripare kontrollerar PTR-posten i en IP-adress. Autentisering behövs inte för att trigga sårbarheten.

  • CVE-2013-6466

    Iustina Melinte upptäckte en sårbarhet i Libreswan som även applicerar på Openswan-koden. Genom att försiktigt skapa IKEv2-paket, kan en angripare göra att pluto-daemonen derefererar icke-mottagen IKEv2-payload, vilket leder till att daemonen kraschar. Autentisering behövs inte för att trigga sårbarheten.

Patchar skrevs ursprungligen för att rätta sårbarheten i Libreswan, och har portats till Openswan av Paul Wouters från Libreswan-projektet.

Eftersom Openswan-paketet inte längre underhålls i Debiandistributionen och inte är tillgänglig i uttestningsutgåvan och den instabila utgåvan, så rekommenderas det för IKE/IPsec-användare att byta till en implementation som har stöd, så som strongSwan.

För den gamla stabila utgåvan (Squeeze) har dessa problem rättats i version 2.6.28+dfsg-5+squeeze2.

För den stabila utgåvan (Wheezy) har dessa problem rättats i version 2.6.37-3.1.

Vi rekommenderar att ni uppgraderar era openswan-paket.