Рекомендация Debian по безопасности

DSA-3398-1 strongswan -- обновление безопасности

Дата сообщения:
16.11.2015
Затронутые пакеты:
strongswan
Уязвим:
Да
Ссылки на базы данных по безопасности:
В каталоге Mitre CVE: CVE-2015-8023.
Более подробная информация:

Тобиас Бруннер обнаружил возможность обхода аутентификации в strongSwan, наборе IKE/IPsec.

Из-за недостаточной проверки локального состояния серверная реализация протокола EAP-MSCHAPv2 в дополнении eap-mschapv2 может посчитать успешной аутентификацию без предоставления корректных данных учётной записи.

Можно обнаружить подобные атаки в журнале сервера. Во время аутентификации клиента можно видеть следующее сообщение журнала:

EAP method EAP_MSCHAPV2 succeeded, no MSK established

В предыдущем стабильном выпуске (wheezy) эта проблема была исправлена в версии 4.5.2-1.5+deb7u8.

В стабильном выпуске (jessie) эта проблема была исправлена в версии 5.2.1-6+deb8u2.

В тестируемом выпуске (stretch) эта проблема была исправлена в версии 5.3.3-3.

В нестабильном выпуске (sid) эта проблема была исправлена в версии 5.3.3-3.

Рекомендуется обновить пакеты strongswan.