Debians sikkerhedsbulletin
DSA-2483-1 strongswan -- omgåelse af autentificering
- Rapporteret den:
- 31. maj 2012
- Berørte pakker:
- strongswan
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Mitres CVE-ordbog: CVE-2012-2388.
- Yderligere oplysninger:
-
Et problem i forbindelse med omgåelse af autentificering blev opdaget af Codenomicon CROSS-projektet i strongSwan, en IPsec-baseret VPN-løsning. Når man anvender RSA-baserede opsætninger, kunne en manglende kontrol i gmp-plugin'en gøre det muligt for en angriber at præsentere en forfalsket signatur, og dermed med succes autentificere mod en strongSwan-responder.
Standardopsætningen i Debian anvender ikke gmp-plugin'en til RSA-handlinger, men derimod OpenSSL-plugin'en, hvorfor pakkerne, som de leveres fra Debian, ikke er sårbare.
I den stabile distribution (squeeze), er dette problem rettet i version 4.4.1-5.2.
For the distributionen testing (wheezy), er dette problem rettet i version 4.5.2-1.4.
I den ustabile distribution (sid), er dette problem rettet i version 4.5.2-1.4.
Vi anbefaler at du opgraderer dine strongswan-pakker.