Bulletin d'alerte Debian

DSA-2922-1 strongswan -- Mise à jour de sécurité

Date du rapport :
5 mai 2014
Paquets concernés :
strongswan
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2014-2891.
Plus de précisions :

Une vulnérabilité a été découverte dans l'analyseur ASN.1 de strongSwan, une suite IKE/IPsec utilisée pour établir des liens IPsec protégés.

En envoyant un identifiant ID_DER_ASN1_DN de charge utile contrefait à un démon pluto ou charon vulnérable, un utilisateur distant malveillant peut provoquer un déréférencement de pointeur NULL dans le démon analysant l'identité et conduire à un plantage et à un déni de service.

Pour la distribution oldstable (Squeeze), ce problème a été corrigé dans la version 4.4.1-5.6.

Pour la distribution stable (Wheezy), ce problème a été corrigé dans la version 4.5.2-1.5+deb7u4.

Pour la distribution testing (Jessie), ce problème a été corrigé dans la version 5.1.2-1.

Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 5.1.2-1.

Nous vous recommandons de mettre à jour vos paquets strongswan.