Sikkerhedsoplysninger / 2012 / Sikkerhedsoplysninger -- DSA-2483-1 strongswan

Debians sikkerhedsbulletin

DSA-2483-1 strongswan -- omgåelse af autentificering

Rapporteret den:

31. maj 2012

Berørte pakker:

strongswan

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Mitres CVE-ordbog: CVE-2012-2388.

Yderligere oplysninger:

Et problem i forbindelse med omgåelse af autentificering blev opdaget af Codenomicon CROSS-projektet i strongSwan, en IPsec-baseret VPN-løsning. Når man anvender RSA-baserede opsætninger, kunne en manglende kontrol i gmp-plugin'en gøre det muligt for en angriber at præsentere en forfalsket signatur, og dermed med succes autentificere mod en strongSwan-responder.

Standardopsætningen i Debian anvender ikke gmp-plugin'en til RSA-handlinger, men derimod OpenSSL-plugin'en, hvorfor pakkerne, som de leveres fra Debian, ikke er sårbare.

I den stabile distribution (squeeze), er dette problem rettet i version 4.4.1-5.2.

For the distributionen testing (wheezy), er dette problem rettet i version 4.5.2-1.4.

I den ustabile distribution (sid), er dette problem rettet i version 4.5.2-1.4.

Vi anbefaler at du opgraderer dine strongswan-pakker.