Bulletin d'alerte Debian

DSA-3398-1 strongswan -- Mise à jour de sécurité

Date du rapport :
16 novembre 2015
Paquets concernés :
strongswan
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2015-8023.
Plus de précisions :

Tobias Brunner a découvert une vulnérabilité de contournement d'authentification dans strongSwan, une suite IKE/IPsec.

Du fait d'une validation insuffisante de son état local, l'implémentation sur le serveur du protocole EAP-MSCHAPv2 dans le greffon eap-mschapv2 peut être amenée à conclure avec succès l'authentification sans fournir d'identité valable.

Il est possible de reconnaître une attaque de ce type en regardant le journal du serveur. On devrait voir le message suivant dans le journal durant l'authentification du client :

EAP method EAP_MSCHAPV2 succeeded, no MSK established

Pour la distribution oldstable (Wheezy), ce problème a été corrigé dans la version 4.5.2-1.5+deb7u8.

Pour la distribution stable (Jessie), ce problème a été corrigé dans la version 5.2.1-6+deb8u2.

Pour la distribution testing (Stretch), ce problème a été corrigé dans la version 5.3.3-3.

Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 5.3.3-3.

Nous vous recommandons de mettre à jour vos paquets strongswan.