Bulletin d'alerte Debian

DLA-244-1 strongswan -- Mise à jour de sécurité pour LTS

Date du rapport :
12 juin 2015
Paquets concernés :
strongswan
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2015-4171.
Plus de précisions :

Alexander E. Patrakov a découvert un problème dans strongSwan, une suite IKE/IPsec utilisée pour établir des liens IPsec protégés.

Lorsqu'un client IKEv2 authentifie le serveur avec des certificats et que le client s'identifie lui-même au serveur en utilisant une clé pré-partagée ou EAP, les contraintes sur le certificat du serveur ne sont appliquées par le client qu'après que toutes les étapes d'authentification se sont achevées avec succès. Un serveur véreux qui peut s'identifier avec un certificat valable délivré par une autorité de confiance du client pourrait piéger l'utilisateur en le faisant poursuivre l'authentification, révélant le nom d'utilisateur et le mot de passe chiffré (pour EAP) ou même le mot de passe en clair (si le mode EAP-GTC est accepté).