Bulletin d'alerte Debian

DLA-1528-1 strongswan -- Mise à jour de sécurité pour LTS

Date du rapport :
2 octobre 2018
Paquets concernés :
strongswan
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2018-17540.
Plus de précisions :

Il existait une vulnérabilité de déni de service dans strongswan, un serveur et client de réseau privé virtuel (VPN).

La vérification d’une signature RSA avec une clef publique très courte causait un dépassement d'entier par le bas dans une vérification de longueur qui aboutissait à un dépassement de tampon basé sur le tas.

Pour Debian 8 Jessie, ce problème a été corrigé dans la version 5.2.1-6+deb8u8 de strongswan.

Nous vous recommandons de mettre à jour vos paquets strongswan.