Säkerhetsbulletin från Debian

DSA-3398-1 strongswan -- säkerhetsuppdatering

Rapporterat den:
2015-11-16
Berörda paket:
strongswan
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Mitres CVE-förteckning: CVE-2015-8023.
Ytterligare information:

Tobias Brunner upptäckte en sårbarhet för autentiseringsförbigång i strongSwan, en uppsättning program för IKE/IPsec.

På grund av otillräcklig validering av dess lokala status kan serverimplementationen av EAP-MSCHAPv2-protokollet i eap-mschapv2-insticksmodulen luras att framgångsrikt slutföra autentiseringen utan att tillhandahålla giltiga referenser.

Det är möjligt att känna igen sådana angrepp genom att titta på serverloggarna. Följande logmeddelande ses under klientautentiseringen:

EAP method EAP_MSCHAPV2 succeeded, no MSK established

För den gamla stabila utgåvan (Wheezy) har detta problem rättats i version 4.5.2-1.5+deb7u8.

För den stabila utgåvan (Jessie) har detta problem rättats i version 5.2.1-6+deb8u2.

För uttestningsutgåvan (Stretch) har detta problem rättats i version 5.3.3-3.

För den instabila utgåvan (Sid) har detta problem rättats i version 5.3.3-3.

Vi rekommenderar att ni uppgraderar era strongswan-paket.