Bulletin d'alerte Debian

DSA-3962-1 strongswan -- Mise à jour de sécurité

Date du rapport :
3 septembre 2017
Paquets concernés :
strongswan
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 872155.
Dans le dictionnaire CVE du Mitre : CVE-2017-11185.
Plus de précisions :

Une vulnérabilité de déni de service a été identifiée dans strongSwan, une suite IKE/IPsec utilisant le projet de test à données aléatoires OSS-Fuzz de Google.

Le greffon gmp dans strongSwan effectuait une validation des entrées insuffisante lors de la vérification de signatures RSA. Cette erreur de code pourrait conduire à un déréférencement de pointeur NULL, menant au plantage du processus.

Pour la distribution oldstable (Jessie), ce problème a été corrigé dans la version 5.2.1-6+deb8u5.

Pour la distribution stable (Stretch), ce problème a été corrigé dans la version 5.5.1-4+deb9u1.

Pour la distribution testing (Buster), ce problème a été corrigé dans la version 5.6.0-1.

Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 5.6.0-1.

Nous vous recommandons de mettre à jour vos paquets strongswan.