Debians sikkerhedsbulletin

DSA-3282-1 strongswan -- sikkerhedsopdatering

Rapporteret den:
8. jun 2015
Berørte pakker:
strongswan
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Mitres CVE-ordbog: CVE-2015-4171.
Yderligere oplysninger:

Alexander E. Patrakov opdagede et problem i strongSwan, en IKE-/IPsec-suite, som anvendes til at etablere IPsec-beskyttede forbindelser.

Når en IKEv2-klient autentificerede serveren med certifikater og klienten autentificerede sig selv over for serveren ved hjælp af tidligere delt nøgle eller EAP, blev begrænsningerne i servercertifikatet kun håndhævet af klienten efter alle autentifikationstrin var gennemført med succes. En ondsindet server, der kan autentificere ved hjælp af gyldige certifikater udgivet af ethvert CA, som klienten har tillid til, kunne narre brugeren til at fortsætte autentifikationen, og dermed afsløre brugernavnet og adgangskodens digest (til EAP) eller endda adgangskoden i klartekst (hvis EAP-GTC accepteres).

I den gamle stabile distribution (wheezy), er dette problem rettet i version 4.5.2-1.5+deb7u7.

I den stabile distribution (jessie), er dette problem rettet i version 5.2.1-6+deb8u1.

I distributionen testing (stretch), er dette problem rettet i version 5.3.1-1.

I den ustabile distribution (sid), er dette problem rettet i version 5.3.1-1.

Vi anbefaler at du opgraderer dine strongswan-pakker.