Bulletin d'alerte Debian

DLA-1059-1 strongswan -- Mise à jour de sécurité pour LTS

Date du rapport :
18 août 2017
Paquets concernés :
strongswan
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2017-11185.
Plus de précisions :

Il existait une vulnérabilité de déni de service dans le logiciel Strongswan de VPN (Virtual Private Network).

Des signatures spécifiques RSA, passées au greffon gmp pour vérification, pourraient causer un déréférencement de pointeur NULL. Des déclencheurs potentiels sont des signatures dans les certificats, mais aussi des signatures utilisées durant l’authentification IKE.

Pour plus de détails, veuillez consulter :

https://www.strongswan.org/blog/2017/08/14/strongswan-vulnerability-(cve-2017-11185).html

Pour Debian 7 Wheezy, ce problème a été corrigé dans la version 4.5.2-1.5+deb7u10 de strongswan.

Nous vous recommandons de mettre à jour vos paquets strongswan.