Рекомендация Debian по безопасности

DSA-3282-1 strongswan -- обновление безопасности

Дата сообщения:
08.06.2015
Затронутые пакеты:
strongswan
Уязвим:
Да
Ссылки на базы данных по безопасности:
В каталоге Mitre CVE: CVE-2015-4171.
Более подробная информация:

Александр Патраков обнаружил проблему в strongSwan, наборе IKE/IPsec, используемом для установления защищённых соединений IPsec.

Когда клиент IKEv2 аутентифицирует сервер с помощью сертификатов и аутентифицирует себя серверу с помощью пароля или по EAP, ограничения серверного сертификата включаются клиентом лишь после успешного выполнения всех шагов аутентификации. Сервер злоумышленника, который может аутентифицироваться клиентом с помощью корректного сертификата, выданного любым доверенным авторитетом, может обмануть пользователя и продолжить аутентификацию, что приведёт к раскрытию хэша пароля (для EAP) или даже пароля в виде обычного текста (если принимается EAP-GTC).

В предыдущем стабильном выпуске (wheezy) эта проблема была исправлена в версии 4.5.2-1.5+deb7u7.

В стабильном выпуске (jessie) эта проблема была исправлена в версии 5.2.1-6+deb8u1.

В тестируемом выпуске (stretch) эта проблема была исправлена в версии 5.3.1-1.

В нестабильном выпуске (sid) эта проблема была исправлена в версии 5.3.1-1.

Рекомендуется обновить пакеты strongswan.