Säkerhetsbulletin från Debian

DSA-3282-1 strongswan -- säkerhetsuppdatering

Rapporterat den:
2015-06-08
Berörda paket:
strongswan
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Mitres CVE-förteckning: CVE-2015-4171.
Ytterligare information:

Alexander E. Patrakov upptäckte ett problem i strongSwanm en IKE/IPsec-uppsättning av program som används för att etablera IPsec-skyddade länkar.

När en IKEv2-klient autentiserar servern med certifikat och klienten autentiserar sig själv mot servern med hjälp av en tidigare delad nyckel eller EAP, påtvingas endast begränsningarna på servercertifikatet på klienten efter att alla autentiseringssteg redan har fullbordats framgångsrikt. En illasinnad server som kan autentisera med hjälp av ett giltigt certifikat som har utfärdats av någon CA som klienten anser pålitlig kunde lura användaren till att fortsätta autentiseringen, och avslöja användarnamnet och lösenordet (för EAP) eller till och med rentextlösenordet (om EAP-GTC accepteras).

För den gamla stabila utgåvan (Wheezy) har detta problem rättats i version 4.5.2-1.5+deb7u7.

För den stabila utgåvan (Jessie) har detta problem rättats i version 5.2.1-6+deb8u1.

För uttestningsutgåvan (Stretch) har detta problem rättats i version 5.3.1-1.

För den instabila utgåvan (Sid) har detta problem rättats i version 5.3.1-1.

Vi rekommenderar att ni uppgraderar era strongswan-paket.